Ivanti - CVE-2026-10520
Date de publication :
Il s'agit d'une vulnérabilité d'injection de commandes OS dans le contrôleur Spring Boot de l'application mics.war.
Ivanti Sentry est une passerelle réseau en ligne, anciennement connue sous le nom MobileIron Sentry, qui gère, chiffre et sécurise le trafic entre les terminaux mobiles et les systèmes d'information d'entreprise. Il fonctionne conjointement avec Ivanti EPMM pour appliquer les décisions d'accès au niveau des terminaux.
L'endpoint non authentifié POST /mics/api/v2/sentry/mics-config/handleMessage transmet le paramètre message sans assainissement à la méthode configService.handleMessage(), qui construit et exécute des commandes système directement à partir de la valeur reçue.
Elle permet à un attaquant distant non authentifié d'exécuter du code arbitraire avec les privilèges root sur l'appliance.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-78 : Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
• Ivanti Sentry versions 10.7.0 et antérieures
• Ivanti Sentry versions 10.6.1 et antérieures
• Ivanti Sentry versions 10.5.1 et antérieures
Solutions ou recommandations
• Ivanti Sentry version 10.6.2 et supérieures
• Ivanti Sentry version 10.5.2 et supérieures