Ivanti Sentry 操作系统命令注入漏洞(CVE-2026-10520)

北京赛克艾威科技有限公司 2026-06-09


  • 漏洞编号:CVE-2026-10520
  • 漏洞等级:严重
  • 漏洞标签:POC公开、在野利用、关键漏洞、CISA KEV
  • 发布时间:2026-06-09

漏洞描述

Ivanti Sentry是一款专为企业移动设备管理设计的安全网关解决方案,主要用于在移动设备与企业内部网络资源之间建立加密的通信隧道。该产品提供全面的移动安全策略执行、设备合规性检查、访问控制管理和数据加密保护功能,确保企业数据在移动办公环境中的安全性。作为Ivanti统一端点管理解决方案的核心组件,Sentry广泛应用于金融、医疗、制造等大型行业客户,支持iOS、Android等多种移动平台接入。它能够与企业的身份认证系统集成,实现单点登录和细粒度的应用级访问控制,有效保护企业敏感数据免受未授权访问。受影响版本包括R10.5.2、R10.6.2和R10.7.1之前的所有发布版本。该漏洞源于应用程序未能充分过滤和验证用户输入数据,导致远程攻击者可通过网络注入恶意操作系统命令。未经身份验证的攻击者利用此漏洞可在目标系统上执行任意命令,最终获得root权限并完全控制服务器。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/467440