Ivanti - CVE-2026-9614

Date de publication : 02/06/2026

Il s'agit d'une vulnérabilité de contrôle d'accès incorrect dans Ivanti Neurons for ITSM, affectant les versions cloud et on-premises.

Ivanti Neurons for ITSM est une plateforme de gestion des services informatiques (ITSM) éditée par Ivanti, disponible en déploiement sur site et en mode cloud. Elle centralise la gestion des incidents, des demandes, des actifs et des changements IT au sein des organisations.

Un attaquant distant authentifié avec un compte à faibles privilèges peut contourner les vérifications d'autorisation appliquées aux actions réservées aux administrateurs. L'absence de contrôle d'accès rigoureux sur certaines opérations privilégiées permet à l'attaquant de soumettre des requêtes normalement restreintes aux rôles administratifs sans que le serveur ne vérifie correctement le niveau de permission.

Elle permet l'élévation de privilèges vers un accès administrateur sur la plateforme ITSM.

CVE-2026-9614

[Score CVSS v3.1 : 8.8]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Élévation de privilèges

Exploitation

La vulnérabilité exploitée est du type
CWE-284 : Improper Access Control

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

• Ivanti Neurons for ITSM (on-premises) versions 2025.4 et antérieures
• Ivanti Neurons for ITSM (cloud) versions 2026.1 et antérieures

Contournement provisoire

Ivanti recommande d'auditer les configurations de rôles afin de s'assurer que les permissions sont limitées aux rôles administratifs prévus.

Solutions ou recommandations

•   Ivanti Neurons for ITSM (on-premises) version 2025.2 : mise à jour vers 2025.2 Patch 1 et supérieures
•   Ivanti Neurons for ITSM (on-premises) version 2025.3 : mise à jour vers 2025.3 Patch 1 et supérieures
•   Ivanti Neurons for ITSM (on-premises) version 2025.4 : mise à jour vers 2025.4 Patch 1 et supérieures
•   Ivanti Neurons for ITSM (cloud) : correctif déployé automatiquement par Ivanti les 24 et 25 mai 2026, aucune action requise de la part des clients