Zwei kritische Schwachstellen in Ivanti Sentry

Über die Sicherheitslücke mit der Kennung CVE-2026-10520 (EUVD-2026-35440) ist Remote Code Execution mit Root-Rechten möglich, was bis zur vollständigen Übernahme der Systeme führen kann. Ursache hierfür ist eine Command Injection. Der CVSS-Base-Score der Lücke liegt bei 10/10.

Die Schwachstelle CVE-2026-10523 (EUVD-2026-35441) können Angreifende ausnutzen, um Administratorkonten zu erstellen und dadurch vollen administrativen Zugriff zu erhalten. Der CVSS-Base-Score dieser Lücke wurde mit 9.9/10 errechnet.

Betroffen von beiden Sicherheitslücken sind alle Sentry-Versionen bis einschließlich 10.5.1, 10.6.1 und 10.7.0. Ein Proof of Concept (PoC) ist veröffentlicht, was die Wahrscheinlichkeit einer Ausnutzung deutlich erhöht. Dies gilt, auch wenn der Hersteller angibt, dass ihm bislang keine aktive und erfolgreiche Ausnutzung bekannt sei.

Dies melden der Hersteller, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und watchTowr.

Ivanti Sentry fungiert als Inline-Gateway, das den Datenverkehr zwischen mobilen Geräten und den Backend-Systemen eines Unternehmens verwaltet, verschlüsselt und überwacht. Dadurch sollen nur autorisierte Endpunkte auf sensible Unternehmensressourcen zugreifen können. Ivanti Sentry wurde früher unter dem Namen MobileIron Sentry vertrieben.

Ivanti entwickelt Software im Bereich der IT-Sicherheit und -Verwaltung. Der Hauptsitz des Unternehmens ist in South Jordan, Utah.

Aktualisieren Sie Ivanti Sentry je nach installierter Instanz auf Version 10.5.2, 10.6.2 oder 10.7.1. Mit dem von watchTowr zur Verfügung gestellten Tool können Sie prüfen, ob Ihre Systeme von der Schwachstelle CVE-2026-10520 betroffen sind.