Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Ivanti

Fecha de publicación 13/05/2026
Identificador
INCIBE-2026-350
Importancia
5 - Crítica
Recursos Afectados
  • Ivanti Xtraction, versión 2026.1 y anteriores;
  • Ivanti Endpoint Manager (EPM) , versión 2024 SU5 y anteriores;
  • Ivanti Virtual Traffic Manager (vTM), versión 22.9r3 y anteriores;
  • Ivanti Secure Access Client (Windows), versión 22.8R5 y anteriores.
Descripción

Ivanti ha publicado 4 avisos de seguridad donde informa de un total de 7 vulnerabilidades, 1 de severidad crítica, 4 altas y 2 medias que, en caso de ser explotadas, podrían permitir leer ficheros sensibles y escribir ficheros HTML arbitrarios, ejecutar código en remoto y escalar privilegios, entre otras acciones.

Solución

Según el producto, actualizarlo a la versión indicada a continuación:

  • Ivanti Xtraction, versión 2026.2;
  • Ivanti Endpoint Manager (EPM), versión 2024 SU6;
  • Ivanti Virtual Traffic Manager (vTM), versión 22.9r4;
  • Ivanti Secure Access Client (Windows), versión 22.8R6.
Detalle

Las vulnerabilidades de severidad crítica y alta son:

  • CVE-2026-8043: el control externo de un nombre de fichero en Ivanti Xtraction permite a atacantes en remoto y autenticados leer ficheros sensibles y escribir ficheros HTML arbitrarios en un directorio web, lo que conlleva a la revelación de información y posibles ataques en el lado del cliente.
  • CVE-2026-8111:inyección SQL en la consola web de Ivanti Endpoint Manager permite a atacantes en remoto y autenticados, ejecutar código en remoto.
  • CVE-2026-8110: asignación incorrecta de permisos en el agente de Ivanti Endpoint Manager permite a atacantes autenticados en local, escalar sus privilegios.
  • CVE-2026-8051: inyección de comandos del SO en Ivanti Virtual Traffic Manager permite a atacantes autenticados en remoto con privilegios de administrador, ejecutar código en remoto.
  • CVE-2026-7432: condición de carrera en Ivanti Secure Access Client permite a usuarios autenticados en local, elevar sus privilegios a SYSTEM.

El resto de vulnerabilidades se pueden consultar en los enlaces de las referencias.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-8043 Crítica No Ivanti
CVE-2026-8111 Alta No Ivanti
CVE-2026-8110 Alta No Ivanti
CVE-2026-8051 Alta No Ivanti
CVE-2026-7432 Alta No Ivanti
Listado de referencias
Ivanti - Security Advisory - Ivanti Xtraction (CVE-2026-8043)
Ivanti - Security Advisory Ivanti Endpoint Manager (EPM) May 2026
Ivanti - May 2026 Security Advisory Ivanti Virtual Traffic Manager (vTM) (CVE-2026-8051)
Ivanti - May 2026 Security Advisory Ivanti Secure Access Client (CVE-2026-7431, CVE-2026-7432)
Etiquetas