Ivanti Sentry, anteriormente MobileIron Sentry, presenta una vulnerabilidad crítica de inyección de comandos del sistema operativo sin autenticación, identificada como CVE-2026-10520, con una puntuación CVSS de 10.0. La falla reside en el endpoint /mics/api/v2/sentry/mics-config/handleMessage de la API MICS, que acepta solicitudes POST sin credenciales y ejecuta comandos del sistema a través de reflexión Java, otorgando acceso root remoto. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ha incluido esta vulnerabilidad en su catálogo de vulnerabilidades explotadas conocidas (KEV) desde el 11 de junio de 2026, con un plazo de remediación de tres días (14 de junio). Un exploit público publicado por watchTowr Labs demuestra la facilidad del ataque. Las versiones afectadas son Ivanti Sentry anteriores a R10.5.2, R10.6.2 y R10.7.1. Las versiones parcheadas ya están disponibles. Además, el mismo aviso cubre CVE-2026-10523, un bypass de autenticación con CVSS 9.9 que permite crear cuentas administrativas sin autorización. Se recomienda aplicar los parches de inmediato, restringir el acceso al puerto 8443, usar mTLS cuando sea posible y auditar indicios de compromiso, como solicitudes POST inusuales al endpoint vulnerable o cuentas de administrador no autorizadas.
Noticias agregadas con IA