[TLP:CLEAR] Ivanti EPMM opravuje 5 vysoko závažných zraniteľností

Ivanti verziami 12.6.1.1, 12.7.0.1 a 12.8.0.1 opravuje 5 zraniteľností v produkte Ivanti Endpoint Manager Mobile, z toho jedna je aktívne zneužívaná [1].

Ivanti Endpoint Manager Mobile - RCE (CVE-2026-6973)
CVSS 7.2 (High)

Autentizovanému vzdialenému útočníkovi s administrátorskými oprávneniami je v dôsledku nedostatočnej validácie vstupov umožnené spustiť ľubovoľný kód. Táto zraniteľnosť je už aktívne zneužívaná [1].

Zraniteľnosť sa nachádza v produkte Ivanti Endpoint Manager Mobile vo verziách (< 12.6.1.1) OR (>= 12.7.0.0 AND < 12.7.0.1) OR (>= 12.8.0.0 AND < 12.8.0.1).

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 7. 5. 2026.

Ivanti Endpoint Manager Mobile - improper certificate validation (CVE-2026-5787)
CVSS 8.9 (High)

Neautentizovanému vzdialenému útočníkovi je v dôsledku nesprávneho overovania certifikátov umožnené imitovať registrovaných hostiteľov Sentry a získať platné klientske certifikáty podpísané certifikačnou autoritou [1].

Zraniteľnosť sa nachádza v produkte Ivanti Endpoint Manager Mobile vo verziách (< 12.6.1.1) OR (>= 12.7.0.0 AND < 12.7.0.1) OR (>= 12.8.0.0 AND < 12.8.0.1).

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:L

Viac informácií:

Zraniteľnosť bola verejne oznámená 7. 5. 2026.

Ivanti Endpoint Manager Mobile - improper access control (CVE-2026-5786)
CVSS 8.8 (High)

Autentizovanému vzdialenému útočníkovi s nízkymi oprávneniami je v dôsledku nesprávneho riadenia prístupu umožnené získať plný administrátorský prístup k systému [1].

Zraniteľnosť sa nachádza v produkte Ivanti Endpoint Manager Mobile vo verziách (< 12.6.1.1) OR (>= 12.7.0.0 AND < 12.7.0.1) OR (>= 12.8.0.0 AND < 12.8.0.1).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 7. 5. 2026.

Za CESNET-CERTS Henrieta Paločková dňa 11. 5. 2026.

CESNET-CERTS Logo