Aktywnie wykorzystywana w atakach
Ivanti Endpoint Manager Mobile (EPMM) Improper Input Validation Vulnerability
Ivanti — Endpoint Manager Mobile (EPMM) · Figuruje w katalogu CISA KEV od 2026-05-07. Oznacza to potwierdzone ataki w środowisku produkcyjnym.
Wymagane działanie: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
CVE-2026-6973
WysokieCVSS 7.2KEVPrawdopodobieństwo exploitacji (EPSS)
Wysokie ryzykoPercentyl 90 — wyżej niż 90% wszystkich znanych CVE
Streszczenie
W Ivanti EPMM przed wersjami 12.6.1.1, 12.7.0.1 i 12.8.0.1 występuje niewłaściwa walidacja danych wejściowych, która pozwala zdalnie uwierzytelnionemu użytkownikowi z dostępem administracyjnym na zdalne wykonanie kodu.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne przejęcie kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację Ivanti EPMM do najnowszej wersji, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
An Improper Input Validation in Ivanti EPMM before versions 12.6.1.1, 12.7.0.1, and 12.8.0.1 allows a remotely authenticated user with administrative access to achieve remote code execution.

