Выполнение произвольного кода в Ivanti Sentry
Содержание
Уязвимое программное обеспечение
- Ivanti Sentry: до 10.7.0 включительно
Последствия эксплуатации
ACE: Выполнение произвольного кода
Common Vulnerability Scoring System
Рейтинг: КРИТИЧЕСКИЙ
Оценка: 10.0
Вектор: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Вектор атаки: Сетевой
Сложность атаки: Низкая
Требуемые привилегии: Нет
Границы эксплуатации: Измененный
Влияние на Конфиденциальность: Высокая
Влияние на Целостность: Высокая
Влияние на Доступность: Высокая
Метод эксплуатации
Инъекция.
Взаимодействие с пользователем: Отсутствует
Уменьшение последствий
Данная уязвимость устраняется официальным патчем вендора.
Наличие обновления: Есть
Common Weakness Enumeration
CWE: CWE-78
Описание: Некорректная нейтрализация специальных элементов, используемых в системных командах (внедрение команд ОС)
Ссылки
- https://hub.ivanti.com/s/article/Security-Advisory-Ivanti-Sentry-CVE-2026-10520-CVE-2026-10523
- https://labs.watchtowr.com/more-evidence-that-words-dont-mean-what-we-thought-they-meant-ivanti-sentry-pre-auth-os-command-injection-cve-2026-10520/
- https://www.bleepingcomputer.com/news/security/new-max-severity-ivanti-sentry-flaw-allows-code-execution-as-root/
- https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
- https://bdu.fstec.ru/vul/2026-08029