Actualización de seguridad de Ivanti Neurons para ITSM

Fecha de publicación: 

Resumen ejecutivo

Ivanti Neurons for ITSM presenta una vulnerabilidad crítica de Control de Acceso Inadecuado (CVE-2026-9614, CVSS 8.8) que permite a un atacante remoto autenticado obtener acceso administrativo al sistema, lo que podría resultar en la ejecución de acciones dañinas o el control total del entorno. Para explotar esta vulnerabilidad, el atacante debe estar autenticado y tener acceso a la red del sistema afectado. Ivanti ha lanzado parches para las versiones afectadas, incluyendo 2025.4 y anteriores para implementaciones locales, así como 2026.1 y anteriores para la nube. Las actualizaciones han sido aplicadas automáticamente en las implementaciones SaaS, mientras que los clientes de las versiones locales deben actualizar a las versiones corregidas disponibles en el portal de descargas. Actualmente, no se tiene conocimiento de explotación activa de esta vulnerabilidad.

Recursos afectados

  • Ivanti Neurons for ITSM (On-Premises) (versiones afectadas: 2025.4 y anteriores)
  • Ivanti Neurons for ITSM (Cloud) (versiones afectadas: 2026.1 y anteriores)

Análisis técnico

  • CVE-2026-9614: Una vulnerabilidad de Control de Acceso Inadecuado en Ivanti Neurons for ITSM (en la nube y en local) permite que un atacante remoto autenticado obtenga acceso administrativo. Esto puede resultar en que el atacante ejecute acciones dañinas o tome el control del sistema. Para explotar esta vulnerabilidad, el atacante debe estar autenticado y tener acceso a la red del sistema afectado.
    • CWE-284
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada

Mitigación / Solución

Los clientes que utilizan implementaciones en las instalaciones deben remediar esta vulnerabilidad actualizando a una de las versiones corregidas de Ivanti ITSM, disponibles en la sección de descargas de ILS (se requiere inicio de sesión). Para las implementaciones SaaS (Ivanti Neurons for ITSM), la vulnerabilidad ha sido remediada a través de actualizaciones de servicio y no se requiere ninguna acción por parte del cliente.

Referencias adicionales

    Compartir