CRITICAL✓ PATCH🇬🇧 English

CVE-2026-10523

Authentication Bypass w Ivanti Sentry — tworzenie kont admina bez uwierzytelnienia

CVSS 9.9v3.1pub. 2026-06-09upd. 2026-06-22

Podatność typu Authentication Bypass (CWE-288) w Ivanti Sentry umożliwia zdalnemu, nieuwierzytelnionemu atakującemu tworzenie dowolnych kont administracyjnych i uzyskanie pełnego dostępu administratorskiego. Oceniona jako KRYTYCZNA z wynikiem CVSS 9.9, stanowi poważne zagrożenie dla organizacji korzystających z dotkniętych wersji produktu.

Pokaż oryginał (EN)

An Authentication Bypass vulnerability (CWE-288) in Ivanti Sentry before the R10.5.2, R10.6.2 and R10.7.1 versions allows a remote unauthenticated attacker to create arbitrary administrative accounts and obtain full administrative access

🤖 Analiza AI
Jak działa

Podatność polega na obejściu mechanizmu uwierzytelnienia (CWE-288), co oznacza, że atakujący może uzyskać dostęp do chronionych zasobów bez przejścia przez wymagane procedury weryfikacji tożsamości. Atakujący zdalnie, bez posiadania jakichkolwiek poświadczeń, jest w stanie wywołać funkcje administracyjne systemu Ivanti Sentry. W rezultacie możliwe jest stworzenie nowych kont z uprawnieniami administratora, co skutkuje pełnym przejęciem kontroli nad urządzeniem.

Skutki

Atakujący uzyskuje pełny dostęp administracyjny do systemu Ivanti Sentry, co obejmuje wysoką poufność, integralność oraz dostępność zasobów. Może to prowadzić do całkowitego przejęcia infrastruktury obsługiwanej przez Ivanti Sentry, w tym danych przesyłanych przez urządzenie.

Mitygacja

Należy niezwłocznie zaktualizować Ivanti Sentry do wersji R10.5.2, R10.6.2 lub R10.7.1 (odpowiednio do posiadanej gałęzi produktu). Szczegóły dostępne w oficjalnym biuletynie bezpieczeństwa Ivanti pod adresem wskazanym w referencjach.

Kogo dotyczy

Ivanti Sentry w wersjach wcześniejszych niż R10.5.2, R10.6.2 oraz R10.7.1

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Ivanti Standalone Sentry

    APP
    Ivanti
    10.7.0< 10.5.210.6.0 – 10.6.2 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-10520CRITICAL10.0⚠ KEVPL ✓ten sam produkt

RCE poprzez OS Command Injection w Ivanti Sentry (nieuwierzytelniony dostęp root)

CVE-2024-8540HIGH8.8ten sam produkt

Insecure permissions in Ivanti Sentry before versions 9.20.2 and 10.0.2 or 10.1.0 allow a local authenticated ...

CVE-2023-41724HIGH8.8ten sam produkt

A command injection vulnerability in Ivanti Sentry prior to 9.19.0 allows unauthenticated threat actor to exec...

CVE-2026-1281CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Krytyczny code injection w Ivanti Endpoint Manager Mobile (RCE bez uwierzytelnienia)

CVE-2026-1340CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Code injection w Ivanti EPMM umożliwiający nieuwierzytelniony RCE

CVE-2026-10523 — Authentication Bypass w Ivanti Sentry — tworzenie kont admina bez uwierzytelnienia — CRITICAL 9.9 | CVEbaza.pl