Laburpen exekutiboa
Ivanti Neurons ITSMrako ahultasun kritiko bat aurkezten du, Sarbide-kontrol desegokia (CVE-2026-9614, CVSS 8.8) izenekoa, eta horrek urruneko erabiltzaile baimenduei sistema administratibora sartzeko aukera ematen die, eta horrek ekintza kaltegarriak exekutatzea edo ingurunea osorik kontrolatzea ekar dezake. Ahultasun hau esplotatzeko, erasotzaileak autentifikatuta egon behar du eta eragindako sistemaren sarean sartu behar du. Ivanti-k patch-ak argitaratu ditu bertsio eragindakoentzat, 2025.4 eta aurrekoak inplementazio lokaletarako, baita 2026.1 eta aurrekoak hodeirako. Eguneratzeak automatikoki aplikatu dira SaaS inplementazioetan, bitartean, inplementazio lokaletako bezeroek deskarga atarian eskuragarri dauden bertsio zuzenak eguneratu behar dituzte. Une honetan, ahultasun honen esplotazio aktiboari buruzko ezagutza ez dago.
Eragindako baliabideak
- Ivanti Neurons for ITSM (On-Premises) (bertsio eragindakoak: 2025.4 eta aurrekoak)
- Ivanti Neurons for ITSM (Cloud) (bertsio eragindakoak: 2026.1 eta aurrekoak)
Azterketa teknikoa
- CVE-2026-9614: Ivanti Neurons for ITSM (hodeian eta lokal) Sarbide-kontrol desegokia ahultasun bat du, eta horrek urruneko erabiltzaile baimenduei administrazio sarbidea lortzea ahalbidetzen die. Honek erasotzaileak ekintza kaltegarriak exekutatzea edo sistemaren kontrola hartzea ekar dezake. Ahultasun hau esplotatzeko, erasotzaileak autentifikatuta egon behar du eta eragindako sistemaren sarean sartu behar du.
- CWE-284
- CVSS: 8.8 (altua)
- CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- Esplotazioa: Ez da detektatu
Arintzea/Konponbidea
Inplementazio lokalak erabiltzen dituzten bezeroek ahultasun hau konpondu behar dute Ivanti ITSM-ren bertsio zuzenetara eguneratuz, ILS deskarga atalean eskuragarri daudenak (saioa hasi behar da). SaaS inplementazioetarako (Ivanti Neurons for ITSM), ahultasuna zerbitzu eguneratzeen bidez konpondu da eta bezeroak ez du inolako ekintzarik egin behar.