Download
Security Advisory; NCSC-2026-0180 [1.0.2]
- Security Advisory
- NCSC-2026-0180 [1.0.2]
- Publicatie
- 11-06-2026 13:11 (Europe/Amsterdam)
- Prioriteit
- Hoog
- Betreft
- Kwetsbaarheden verholpen in Ivanti Sentry
Revisies
| Versie | Datum | Opmerking | |
|---|---|---|---|
| 1.0.2 | 11-06-2026 11:11 | PoC code publiek beschikbaar en aanpassing aanvalspad. | |
| 1.0.1 | 10-06-2026 08:46 | Er is een gedetailleerde blogpost gepubliceerd waarin de kwetsbaarheden in detail worden uitgelegd. Ook is inmiddels bekend dat de Ivanti Sentry via de Ivanti EPMM bereikt kan worden. De publicatie van deze blogpost vergroot de kans op misbruik. | Bekijken |
| 1.0.0 | 09-06-2026 16:04 | Initiele versie | Bekijken |
Kenmerken
- Authentication Bypass Using an Alternate Path or Channel
- Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
Omschrijving
Ivanti heeft twee kwetsbaarheden verholpen in Sentry.
De kwetsbaarheid met kenmerk CVE-2026-10520, waarvan Ivanti een CVSS-score van 10 heeft toegekend, kan een ongeauthenticeerde kwaadwillende op afstand in staat stellen willekeurige code uitvoeren met root rechten. De kwetsbaarheid met kenmerk CVE-2026-10523, die Ivanti een CVSS score van 9.9, heeft gegeven, kan door een ongeauthenticeerde kwaadwillende op afstand worden misbruikt om administratieve accounts aan te maken.
Misbruik van deze kwetsbaarheden is mogelijk, maar de randvoorwaarden die nodig zijn om deze kwetsbaarheden op afstand uit te buiten, vereisen dat een managementpoort aan het internet is ontsloten. Deze randvoorwaarden zijn niet aanwezig in standaardimplementaties van Ivanti Sentry.
De kwetsbaarheden hebben Ivanti bereikt via responsible disclosure. Momenteel vindt er, voor zover bekend, geen actief misbruik van deze kwetsbaarheden plaats en is er geen publieke PoC code beschikbaar. Het NCSC verwacht echter dat dit op korte termijn zal veranderen.
Oplossingen
Ivanti heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie voor meer informatie de referenties.
Referenties
CVE's
- CVE-2026-10523 - CVSS (v3) 9.9
- CVE-2026-10520 - CVSS (v3) 10.0
Producten
Ivanti
Disclaimer
The Netherlands Cyber Security Center (henceforth: NCSC-NL) maintains this page to enhance access to its information and security advisories. The use of this security advisory is subject to the following terms and conditions: NCSC-NL makes every reasonable effort to ensure that the content of this page is kept up to date, and that it is accurate and complete. Nevertheless, NCSC-NL cannot entirely rule out the possibility of errors, and therefore cannot give any warranty in respect of its completeness, accuracy or continuous keeping up-to-date. The information contained in this security advisory is intended solely for the purpose of providing general information to professional users. No rights can be derived from the information provided therein. NCSC-NL and the Kingdom of the Netherlands assume no legal liability or responsibility for any damage resulting from either the use or inability of use of this security advisory. This includes damage resulting from the inaccuracy of incompleteness of the information contained in the advisory. This security advisory is subject to Dutch law. All disputes related to or arising from the use of this advisory will be submitted to the competent court in The Hague. This choice of means also applies to the court in summary proceedings.