Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Ivanti Endpoint Manager Mobile (EPMM)

Fecha de publicación 08/05/2026
Identificador
INCIBE-2026-333
Importancia
4 - Alta
Recursos Afectados
  • Ivanti Endpoint Manager Mobile (EPMM), versión 12.8.0.0 y anteriores.
Descripción

Ivanti ha informado de 5 vulnerabilidades de severidad alta que, en caso de ser explotadas, podrían permitir a un atacante obtener acceso como administrador, obtener certificados de cliente válidos y ejecutar código en remoto, entre otras acciones.

Solución

Actualizar el producto a alguna de las siguientes versiones:

  • 12.6.1.1;
  • 12.7.0.1;
  • 12.8.0.1.

Estas versiones corrigen también el fallo para las vulnerabilidades CVE-2026-1281 y CVE-2026-1340 reportadas en enero y cuya solución era instalar un paquete RPM. Con estas actualizaciones ya no será necesario volver a instalar dichos paquetes RPM.

Detalle
  • CVE-2026-5787: una validación incorrecta de certificados en Ivanti EPMM permite a atacantes en remoto, no autenticados, simular ser host registrados de Sentry y obtener certificados de cliente válidos firmados por una autoridad de certificación.
  • CVE-2026-5786: el producto realiza un control de acceso inadecuado, lo que permite a atacantes autenticados en remoto lograr acceso como administrador.
  • CVE-2026-7821: la validación inadecuada de certificados permite a atacantes en remoto, no autenticados, registrar un dispositivo perteneciente a un conjunto restringido de dispositivos no registrados, lo que da lugar a la divulgación de información sobre el dispositivo EPMM y afecta a la integridad de la identidad del dispositivo recién registrado.
  • CVE-2026-6973: una validación incorrecta de la entrada permite a usuarios autenticados con acceso de administrador ejecutar código en remoto.
  • CVE-2026-5788: un control de acceso incorrecto permite a atacantes en remoto no autenticados invocar métodos arbitrarios.

Ivanti informa de que la vulnerabilidad CVE-2026-6973 está siendo explotada; sin embargo, para que sea posible explotarla es preciso estar autenticado como administrador. A este respecto, en enero de este año se detectaron dos vulnerabilidades en Ivanti que afectaban a la autenticación, CVE-2026-1281 y CVE-2026-1340, y para las que, como parte de la solución, se pedía rotar las credenciales; en caso de que se hayan rotado las credenciales en enero, el riesgo de que la vulnerabilidad CVE-2026-6973 pueda ser explotada se reduce.

Para más información de las vulnerabilidades CVE-2026-1281 y CVE-2026-1340 se recomienda consultar el enlace de INCIBE de las referencias.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-6973 Alta Si Ivanti
CVE-2026-5787 Alta No Ivanti
CVE-2026-5786 Alta No Ivanti
CVE-2026-7821 Alta No Ivanti
CVE-2026-5788 Alta No Ivanti
Listado de referencias
Ivanti - May 2026 Security Advisory Ivanti Endpoint Manager Mobile (EPMM) (Multiple CVEs)
CCN-CERT - Múltiples vulnerabilidades en Ivanti Endpoint Manager Mobile (EPMM)
INCIBE - Múltiples vulnerabilidades en EPMM de Ivanti
Etiquetas