Aller au contenu principal
CloudKey
English Français
Demander une démo

Zero-day

Ivanti Sentry CVE-2026-10520 exploitee : corrigez vers R10.7.1

La CISA a ajoute Ivanti Sentry CVE-2026-10520 au KEV le 11 juin 2026. RCE root non authentifie, CVSS 10.0, echeance federale le 14 juin. Qui est touche et quoi faire.

Par CloudKey Security Research 4 min de lecture
Alerte rapid-response CloudKey pour Ivanti Sentry CVE-2026-10520, une execution de code a distance non authentifiee activement exploitee

La CISA a ajoute la CVE-2026-10520 dans Ivanti Sentry a son catalogue des vulnerabilites activement exploitees (KEV) le 11 juin 2026. Il s’agit d’une injection de commande OS (CWE-78) qui permet a un attaquant distant et non authentifie d’executer des commandes en tant que root sur l’appliance. Le NVD lui attribue un score CVSS de 10.0 (vecteur AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H). Si vous exploitez un Sentry accessible depuis Internet en etat non gere, traitez ceci comme un risque de compromission actif, pas futur.

Suis-je concerne ?

La vulnerabilite touche, selon Ivanti, “Ivanti Sentry before the R10.5.2, R10.6.2 and R10.7.1 versions” (anciennement MobileIron Sentry). Les versions corrigees sont R10.5.2, R10.6.2 et R10.7.1.

La condition d’exploitation compte. Selon Ivanti et la CISA, la faille est exploitable lorsque l’appliance Sentry est en etat non gere avec ses points de terminaison accessibles depuis l’exterieur. Les deploiements qui utilisent mTLS avec EPMM, ou un acces HTTPS restreint via Neurons for MDM, gardent les interfaces concernees inaccessibles aux acteurs externes. Deux questions decident donc de votre exposition :

  1. L’interface de gestion ou de service Sentry est-elle accessible depuis Internet ?
  2. L’appliance est-elle en etat non gere plutot que protegee par mTLS ou un HTTPS restreint ?

Si les deux sont vraies, vous etes dans la configuration exploitable. L’avis d’Ivanti mentionne aussi la CVE-2026-10523 ; seule la CVE-2026-10520 figure au KEV a ce jour.

Quoi faire maintenant

  1. Corriger d’abord. Passez a R10.5.2, R10.6.2 ou R10.7.1 selon la branche que vous exploitez. C’est le seul correctif durable. L’echeance federale de remediation est le 14 juin 2026, une date utile pour toute organisation, pas seulement les agences.
  2. Si vous ne pouvez pas corriger en quelques heures, coupez l’acces externe. Retirez les interfaces Sentry de l’exposition Internet, ou placez-les derriere les configurations qu’Ivanti decrit comme protectrices : mTLS avec EPMM, ou acces HTTPS restreint via Neurons for MDM. Le cout honnete : cela peut casser les flux d’enregistrement des appareils externes, validez-le donc contre vos parcours d’enrolement avant de l’activer.
  3. Ne presumez rien de l’exposition avant correctif. Pour un RCE root non authentifie sur une appliance exposee a Internet, tout moment ou elle a ete accessible avant le correctif est un moment ou elle a pu etre touchee. Apres correction, inspectez l’appliance pour des processus inattendus, de nouveaux comptes et des connexions sortantes, et suivez les exigences de triage forensique de la CISA citees dans l’action requise du KEV.

Comment elle est exploitee

L’inscription au KEV de la CISA est la confirmation de l’exploitation active. Le catalogue enregistre la CVE-2026-10520 avec une date d’ajout au 11 juin 2026 et une echeance de remediation au 14 juin 2026. L’usage connu dans une campagne de rancongiciel est indique comme “Inconnu” pour l’instant. Nous n’avons pas vu d’indicateurs de compromission publies par une source primaire, nous n’en reproduisons donc aucun. L’EPSS de cette CVE est de 3,3 % (87e percentile) au 11 juin 2026, une valeur qui devrait bouger a mesure que les donnees s’accumulent sur une faille recente et activement exploitee. Nous mettrons ce billet a jour quand la telemetrie d’un editeur ou d’un CERT apportera des details.

Comment VulnMonitor aide

VulnMonitor tient un inventaire en direct de ce que vous exploitez, donc la premiere question ci-dessus se repond d’elle-meme : vous savez deja si une instance Sentry tourne sur une version concernee, et si elle est exposee. Quand une CVE entre au KEV, VulnMonitor la rapproche de cet inventaire et la classe par statut KEV et EPSS, de sorte qu’un RCE root non authentifie comme celui-ci remonte en tete de votre file en moins d’une heure, plutot que dans le scan de la semaine prochaine. Il n’arrete pas l’attaque en elle-meme, donc le correctif ci-dessus reste l’action qui ferme le risque.

Mises a jour

  • 2026-06-12, 03:00 UTC Publication initiale. CVE-2026-10520 ajoutee au KEV de la CISA le 11 juin 2026. CVSS 10.0, EPSS 3,3 % (87e percentile). Corrigee dans R10.5.2, R10.6.2, R10.7.1.

Sources

Équipe recherche sécurité

CloudKey Security Research

L'équipe recherche CloudKey suit les CVE émergents, les chaînes d'exploit et les campagnes actives. Les constats alimentent la plateforme et les avis clients qui suivent.

Voir tous les articles → LinkedIn ↗ X ↗

Continuer la lecture

Brief hebdo

Le brief patch-priorité en 5 minutes

700+ CVE par semaine. Nous vous envoyons celles qui comptent : exploitées, à corriger en premier, à ignorer.

Double opt-in. Aucune revente de données, désabonnement en un clic. Confidentialité.