Resumen ejecutivo
Ivanti Endpoint Manager Mobile presenta múltiples vulnerabilidades que permiten a atacantes remotos ejecutar código sin autenticación. Las vulnerabilidades CVE-2026-1281 y CVE-2026-1340, ambas con un CVSS de 9.8, permiten la ejecución remota de código, comprometiendo completamente el sistema afectado. Adicionalmente, CVE-2026-5787 (CVSS 8.9) permite la suplantación de hosts registrados, mientras que CVE-2026-5786 (CVSS 8.8) otorga acceso administrativo a atacantes autenticados. Se requiere una actualización urgente a las versiones 12.6.1.1, 12.7.0.1 y 12.8.0.1 para mitigar estos riesgos. Actualmente, se ha reportado una explotación limitada de CVE-2026-6973, que también requiere autenticación administrativa.
Recursos afectados
- Ivanti Endpoint Manager Mobile (EPMM) (versiones afectadas: 12.8.0.0 y anteriores; versiones resueltas: 12.6.1.1, 12.7.0.1, 12.8.0.1)
- Ivanti Endpoint Manager Mobile (EPMM) (CVE-2026-5786 - versiones afectadas: antes de 12.6.1.1, 12.7.0.1, 12.8.0.1)
- Ivanti Endpoint Manager Mobile (EPMM) (CVE-2026-5787 - versiones afectadas: antes de 12.6.1.1, 12.7.0.1, 12.8.0.1)
- Ivanti Endpoint Manager Mobile (EPMM) (CVE-2026-5788 - versiones afectadas: antes de 12.6.1.1, 12.7.0.1, 12.8.0.1)
- Ivanti Endpoint Manager Mobile (EPMM) (CVE-2026-6973 - versiones afectadas: antes de 12.6.1.1, 12.7.0.1, 12.8.0.1)
- Ivanti Endpoint Manager Mobile (EPMM) (CVE-2026-7821 - versiones afectadas: antes de 12.6.1.1, 12.7.0.1, 12.8.0.1)
- Sentry (versiones recomendadas para nuevos despliegues: 10.4.2, 10.5.1, 10.6.1)
Análisis técnico
- CVE-2026-1281: Se ha identificado una vulnerabilidad de inyección de código en Ivanti Endpoint Manager Mobile que permite a los atacantes ejecutar código de forma remota sin autenticación. El impacto potencial incluye comprometer la seguridad del sistema del usuario afectado. Para explotar esta vulnerabilidad, un atacante puede enviar solicitudes maliciosas al software vulnerable.
- CWE-94
- CVSS: 9.8 (crítica)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2026-1340: La vulnerabilidad de inyección de código en Ivanti Endpoint Manager Mobile permite a los atacantes ejecutar código de forma remota sin autenticación. Esto puede llevar a un compromiso total del sistema afectado y la exposición de datos sensibles. La explotación requiere que el atacante envíe comandos específicamente diseñados para aprovechar esta fallas.
- CWE-94
- CVSS: 9.8 (crítica)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2026-5787: Una validación de certificado inapropiada en Ivanti EPMM antes de las versiones 12.6.1.1, 12.7.0.1 y 12.8.0.1 permite a un atacante remoto no autenticado suplantar a hosts Sentry registrados y obtener certificados de cliente válidos firmados por una CA. El impacto potencial es la suplantación de identidad, lo que puede comprometer la seguridad de la red. Para explotar esta vulnerabilidad, el atacante no necesita autenticación previa.
- CWE-295
- CVSS: 8.9 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:L
- Explotación: No detectada
- CVE-2026-5786: Una vulnerabilidad de control de acceso inadecuado en Ivanti EPMM antes de las versiones 12.6.1.1, 12.7.0.1 y 12.8.0.1 permite a un atacante remoto autenticado obtener acceso administrativo. Esto puede resultar en un control completo del sistema afectado. Para explotar esta vulnerabilidad, el atacante necesita estar autenticado en el sistema.
- CWE-284
- CVSS: 8.8 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2026-7821: Una validación inadecuada de certificados en Ivanti EPMM antes de las versiones 12.6.1.1, 12.7.0.1 y 12.8.0.1 permite que un atacante remoto no autenticado registre un dispositivo de un conjunto restringido de dispositivos no inscritos. Esto puede resultar en la divulgación de información sobre el dispositivo EPMM y comprometer la integridad de la identidad del nuevo dispositivo inscrito. Para explotar la vulnerabilidad, el atacante solo necesita enviar solicitudes maliciosas.
- CWE-295
- CVSS: 7.4 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
- Explotación: No detectada
- CVE-2026-6973: Una vulnerabilidad de validación de entrada inadecuada en Ivanti EPMM antes de las versiones 12.6.1.1, 12.7.0.1 y 12.8.0.1 permite a un usuario autenticado de forma remota con acceso administrativo ejecutar código de manera remota. El impacto potencial incluye el control total del sistema afectado. Para explotar esta vulnerabilidad, se requiere que el atacante tenga acceso administrativo al sistema.
- CWE-20
- CVSS: 7.2 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
- Explotación: Detectada
- CVE-2026-5788: Una vulnerabilidad de control de acceso inapropiado en Ivanti EPMM antes de las versiones 12.6.1.1, 12.7.0.1 y 12.8.0.1 permite que un atacante remoto no autenticado invoque métodos arbitrarios. Esto podría dar lugar a la ejecución de comandos no autorizados, comprometiendo así la seguridad del sistema. Para explotar esta vulnerabilidad, no se requieren credenciales específicas.
- CWE-284
- CVSS: 7.0 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:L
- Explotación: No detectada
Mitigación / Solución
Para mitigar los problemas de seguridad identificados en Ivanti Endpoint Manager Mobile (EPMM), se recomienda a los clientes actualizar a las versiones 12.6.1.1, 12.7.0.1 o 12.8.0.1, disponibles en el portal de descargas (se requiere inicio de sesión). Además, se sugiere revisar las cuentas con derechos de Administrador y rotar esas credenciales cuando sea necesario. Si los clientes siguieron la recomendación de Ivanti en enero de rotar credenciales tras la explotación de CVE-2026-1281 y CVE-2026-1340, su riesgo de explotación de CVE-2026-6973 se reduce significativamente.