CSIRT Toscana Ivanti June Security Update (AL04/260610/CSIRT-ITA)
Data:
11 Giugno 2026
Impatto Sistemico
Critico (79.48)
Sintesi
Rilasciati gli aggiornamenti di sicurezza di giugno che risolvono 4 nuove vulnerabilità, di cui due con gravità “critica” e due con gravità “alta”, in diversi prodotti Ivanti. Tra queste, si evidenzia la CVE-2026-10520 , per la quale risulta disponibile un Proof of Concept (PoC) in rete.
Tipologia
- Authentication Bypass
- Remote Code Execution
Descrizione e potenziali impatti
Ivanti ha rilasciato aggiornamenti di sicurezza per risolvere 4 nuove vulnerabilità. Tra queste si evidenzia la CVE-2026-10520 , di tipo “OS Command Injection” e con score CVSS 3.1 pari a 10, che riguarda il prodotto Ivanti Sentry e per la quale risulta disponibile un Proof of Concept (PoC) in rete.
Nel dettaglio, la vulnerabilità interessa l’endpoint REST esposto su /mics/api/v2/sentry/mics-config/handleMessage ed è causata da una mancata validazione dell’input utente (parametro “message”). Tale input viene parsato tramite StringTokenizer , interpretato come comando applicativo e utilizzato in modo non sicuro fino a influenzare l’esecuzione di comandi a livello di sistema. Un attaccante remoto non autenticato potrebbe sfruttare tale vulnerabilità, tramite l’invio all’endpoint vulnerabile di richieste HTTP POST opportunamente predisposte, per eseguire codice arbitrario sul sistema target.
Prodotti e versioni affette
Ivanti
- Sentry 10.5.x, versione 10.5.1 e precedenti
- Sentry 10.6.x, versione 10.6.1 e precedenti
- Sentry 10.7.0
- Endpoint Manager Mobile 12.7.x.x, versione 12.7.0.1 e precedenti
- Endpoint Manager Mobile 12.8.x.x, versione 12.8.0.2 e precedenti
- Endpoint Manager Mobile 12.9.0
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei relativi bollettini di sicurezza riportati nella sezione Riferimenti.
N.B. Si evidenzia che la CVE-2026-6973 era già presente negli update di maggio di Ivanti e risultava sfruttata attivamente in rete, si raccomanda di applicare i più recenti aggiornamenti forniti dal vendor.
Riferimenti
- https://hub.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-6973-CVE-2026-10727?language=en_US
- https://hub.ivanti.com/s/article/Security-Advisory-Ivanti-Sentry-CVE-2026-10520-CVE-2026-10523?language=en_US
- https://www.ivanti.com/blog/june-2026-security-update
CVE
| CVE-ID | |||
|---|---|---|---|
| CVE-2026-10520 | CVE-2026-6973 | CVE-2026-10523 | CVE-2026-10727 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 10-06-2026 | 10/06/2026 |
| 1.1 | Aggiornata la sezione “CVE” a seguito di sfruttamento attivo della CVE-2026-10520 | 11/06/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
11 Giugno 2026, 10:00