CVE-2026-6973: Vulnerabilidad crítica en Ivanti EPMM con riesgo de RCE
Publicado el
Advertencia sobre CVE-2026-6973
Ivanti ha emitido una alerta sobre una vulnerabilidad de alta gravedad, CVE-2026-6973, que afecta a su producto Endpoint Manager Mobile (EPMM) en versiones anteriores a la 12.6.1.1, 12.7.0.1 y 12.8.0.1. Esta falla se debe a una validación de entrada inadecuada que permite a un usuario autenticado con acceso administrativo ejecutar código de forma remota.
La compañía ha confirmado que se han llevado a cabo ataques limitados utilizando esta vulnerabilidad. Según Ivanti, la explotación de CVE-2026-6973 requiere autenticación de administrador, lo que significa que solo aquellos que hayan tenido éxito en el acceso administrativo podrían verse afectados. La empresa también ha recomendado a sus clientes que sigan las pautas emitidas en enero para rotar credenciales, lo que podría disminuir significativamente el riesgo de explotación.
Medidas de respuesta
La CISA (Agencia de Seguridad Cibernética e Infraestructura de EE.UU.) ha incluido esta vulnerabilidad en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), lo que obliga a las agencias del Federal Civilian Executive Branch (FCEB) a implementar las correcciones necesarias antes del 10 de mayo de 2026. Esta acción se debe al potencial impacto que la vulnerabilidad puede tener en la seguridad de las infraestructuras gubernamentales.
Además de CVE-2026-6973, Ivanti ha abordado otras cuatro vulnerabilidades en EPMM:
1. CVE-2026-5786 (CVSS: 8.8): Permite a un atacante remoto autenticado obtener acceso administrativo debido a un control de acceso inadecuado. 2. CVE-2026-5787 (CVSS: 8.9): Una falla en la validación de certificados que permite a un atacante no autenticado suplantar a hosts Sentry registrados. 3. CVE-2026-5788 (CVSS: 7.0): Permite a un atacante remoto no autenticado invocar métodos arbitrarios debido a un control de acceso inadecuado. 4. CVE-2026-7821 (CVSS: 7.4): Una vulnerabilidad en la validación de certificados que permite a un atacante no autenticado inscribir dispositivos en un conjunto restringido, lo que podría llevar a la divulgación de información del dispositivo EPMM.
Aclaraciones sobre el alcance
Ivanti ha aclarado que los problemas identificados afectan exclusivamente al producto EPMM en su versión local, y no están presentes en Ivanti Neurons para MDM, Ivanti EPM ni en otros productos de la compañía. Esto destaca la importancia de mantener los sistemas actualizados y de aplicar las correcciones proporcionadas por el fabricante.
La situación pone de manifiesto la necesidad de que las organizaciones revisen sus configuraciones de seguridad y sigan las recomendaciones para mitigar los riesgos asociados a estas vulnerabilidades. La proactividad en la gestión de la seguridad cibernética es crucial para proteger los activos digitales de posibles ataques.