[TLP:CLEAR] Ivanti EPMM opravuje 2 kritické zranitelnosti

Ivanti Endpoint Manager Mobile (EPMM) vydal patch pro 2 kritické zranitelnosti, z nichž jedna je aktivně zneužívána [1][2]. Dostupné opravy: RPM_12.x.0.x [3]: - pro verze 12.5.0.x, 12.6.0.x a 12.7.0.x - kompatibilní s 12.3.0.x a 12.4.0.x RPM_12.x.1.x [4]: - pro verze 12.5.1.0 a 12.6.1.0 RPM patch musí být aplikován znovu po každé aktualizaci na jinou verzi až do vydání konečné opravy ve verzi 12.8.0.0 (Q1 2026). Pro aplikaci je nutné instalační příkaz prefixovat přihlašovacími údaji k portálu support.mobileiron.com. Další postup a detailní informace naleznete na [1].

Ivanti Endpoint Manager Mobile - RCE (CVE-2026-1281)
CVSS 9.8 (Critical)

Neautentizovanému vzdálenému útočníkovi je umožněno spustit kód [1]. Tato zranitelnost je již aktivně zneužívána [2].

Zranitelnost se nachází v produktu Ivanti Endpoint Manager Mobile ve verzích (>=12.0.0.0 AND <=12.0.0.5) OR (>=12.1.0.0 AND <=12.1.0.5) OR (>=12.2.0.0 AND <=12.2.0.1) OR (>=12.3.0.0 AND <=12.3.0.3) OR (>=12.4.0.0 AND <=12.4.0.4) OR (>=12.5.0.0 AND <=12.5.0.4) OR (>=12.6.0.0 AND <=12.6.0.2) OR (==12.7.0.0).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 29. 1. 2026.

Ivanti Endpoint Manager Mobile - RCE (CVE-2026-1340)
CVSS 9.8 (Critical)

Neautentizovanému vzdálenému útočníkovi je umožněno spustit kód [1].

Zranitelnost se nachází v produktu Ivanti Endpoint Manager Mobile ve verzích (==12.5.1.0) OR (==12.6.1.0).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 29. 1. 2026.

Za CESNET-CERTS Michaela Ručková dne 2. 2. 2026.

CESNET-CERTS Logo