Faille de gravité maximale dans Ivanti Sentry exploitée pour exécuter du code en root (CVE-2026-10520)

Ivanti a corrigé une faille d'injection de commandes sans authentification de gravité maximale dans sa passerelle mobile Sentry, permettant aux attaquants une exécution de code à distance avec les privilèges root ; quelques jours plus tard, l'exploitation réelle a suivi la publication d'une preuve de concept, conduisant la CISA à l'ajouter à son catalogue des vulnérabilités activement exploitées.

Le 10 juin 2026, Ivanti — l'éditeur américain (Utah) de solutions informatiques et de sécurité d'entreprise — a divulgué et corrigé une paire de vulnérabilités critiques dans Ivanti Sentry, la passerelle (anciennement MobileIron Sentry) qui assure l'accès entre les appareils mobiles et les systèmes internes de l'entreprise. La faille principale, CVE-2026-10520, atteint le score CVSS maximal de 10,0 : un attaquant distant et non authentifié peut exécuter des commandes système arbitraires en tant que root.

Ce qui s'est passé

CVE-2026-10520 est une faille d'injection de commandes système dans la classe ConfigServiceController de l'application web de Sentry. Les chercheurs l'ont reliée au point d'accès non authentifié /mics/api/v2/sentry/mics-config/handleMessage, qui interprète un paramètre message fourni par l'attaquant comme une commande de configuration interne et finit par l'exécuter en root. Une faille associée, CVE-2026-10523 (CVSS 9,9), est un contournement d'authentification permettant à un attaquant de créer des comptes administrateurs arbitraires sur l'appliance. Toutes deux affectent Sentry 10.5.1, 10.6.1, 10.7.0 et versions antérieures, et sont corrigées dans les versions 10.5.2, 10.6.2 et 10.7.1.

Ivanti a indiqué ne pas avoir connaissance d'exploitation active au moment de la divulgation, mais des attaques réelles ont rapidement suivi la circulation d'un code d'exploitation public. La Shadowserver Foundation a signalé une montée des tentatives d'exploitation et des passerelles compromises exposées sur Internet, et le 11 juin, la CISA a ajouté CVE-2026-10520 à son catalogue des vulnérabilités activement exploitées, ordonnant aux agences civiles fédérales de corriger sous trois jours — avant le 14 juin 2026 — au titre de la directive opérationnelle contraignante 26-04.

Pourquoi c'est important

Sentry se trouve en bordure de réseau, où elle termine les connexions des appareils mobiles gérés ; un accès non authentifié à root sur l'appliance offre donc à un attaquant une tête de pont dotée d'une visibilité profonde sur l'infrastructure de mobilité et d'identité d'une organisation. Les produits de périphérie d'Ivanti sont une cible récurrente, et cet épisode reproduit le schéma désormais familier où un bogue corrigé mais trivialement exploitable est militarisé quelques heures après la publication d'une preuve de concept — réduisant à des jours, et non plus des semaines, le délai laissé aux défenseurs qui tardent.

Chronologie

10 juin 2026

Ivanti publie des avis pour CVE-2026-10520 (CVSS 10.0) et CVE-2026-10523 (CVSS 9.9) et diffuse des versions corrigées de Sentry ; l'éditeur indique ne pas avoir connaissance d'exploitation active au moment de la divulgation.

11 juin 2026

La CISA ajoute CVE-2026-10520 à son catalogue des vulnérabilités activement exploitées et ordonne aux agences fédérales de corriger avant le 14 juin ; Shadowserver signale des passerelles compromises après l'apparition de code d'exploitation public.

14 juin 2026

Date limite pour les agences civiles fédérales américaines pour appliquer le correctif ou les mesures d'atténuation, au titre de la directive opérationnelle contraignante 26-04.

Sources

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/new-max-severity-ivanti-sentry-flaw-allows-code-execution-as-root/

helpnetsecurity.comhttps://www.helpnetsecurity.com/2026/06/10/ivanti-sentry-cve-2026-10520-cve-2026-10523/

rapid7.comhttps://www.rapid7.com/blog/post/etr-cve-2026-10520-cve-2026-10523-multiple-critical-vulnerabilities-affecting-ivanti-sentry/

csoonline.comhttps://www.csoonline.com/article/4183735/ivanti-patches-critical-sentry-flaws-that-lead-to-full-device-takeover.html

securityaffairs.comhttps://securityaffairs.com/193557/security/u-s-cisa-adds-ivanti-sentry-flaw-to-its-known-exploited-vulnerabilities-catalog-and-urges-patching-by-june-14.html

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/cisa-gives-feds-3-days-to-patch-ivanti-flaw-exploited-in-attacks/

Incidents liés

Exploitation de vulnérabilitéContenu9 juin 2026

ServiceNow révèle une faille d'API sans authentification ayant permis d'interroger les données d'instances clientes

ServiceNow a révélé qu'un point de terminaison REST mal configuré et accessible sans authentification permettait d'interroger les données d'instances clientes hébergées, un problème corrigé le 5 juin mais dont l'avis (réservé aux clients connectés) n'a été publié que plusieurs jours plus tard.

Victim: ServiceNow

Exploitation de vulnérabilitéContenu8 juin 2026

Compromission de comptes Instagram via l'outil « High Touch Support » de Meta (2026)

Des attaquants ont exploité une faille de vérification dans l'outil de récupération de compte assisté par IA d'Instagram, High Touch Support, pour déclencher des réinitialisations de mot de passe et détourner 20 225 comptes avant que Meta ne détecte et désactive l'outil.

Victim: Meta Platforms (Instagram)

Exploitation de vulnérabilitéContenu6 mai 2026

BookMyName : une cyberattaque a compromis des données liées à des noms de domaine

Le registrar français BookMyName a détecté le 5 mai 2026 un incident de sécurité au cours duquel un attaquant a exploité une vulnérabilité pour modifier frauduleusement des données de contact de domaines, exposant identifiants, noms, e-mails, téléphones et adresses postales de certains clients.

Victim: BookMyName

Exploitation de vulnérabilitéEn cours18 avril 2026

Magento : +7 500 sites compromis dans une vague mondiale de piratage

Une campagne mondiale automatisée exploitant une faille d'upload de fichiers non authentifié dans Magento a défacé plus de 7 500 sites e-commerce sur plus de 15 000 hôtes, déposant des fichiers malveillants sur des boutiques liées à Toyota, Fiat, Asus et FedEx.

Victim: Magento