https://cyberveille.ch/tags/cve-2026-10520/ Recent content in CVE-2026-10520 on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sat, 13 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-13-ivanti-sentry-injection-de-commandes-os-pre-authentifiee-critique-cve-2026-10520-cvss-10/ Sat, 13 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-13-ivanti-sentry-injection-de-commandes-os-pre-authentifiee-critique-cve-2026-10520-cvss-10/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 10 juin 2026 par WatchTowr Labs, cet article présente l&rsquo;analyse technique de deux vulnérabilités découvertes dans <strong>Ivanti Sentry</strong> (anciennement MobileIron Sentry), une passerelle inline gérant le trafic entre appareils mobiles et systèmes d&rsquo;entreprise.</p> <h2 id="-vulnérabilités-identifiées">🚨 Vulnérabilités identifiées</h2> <ul> <li><strong>CVE-2026-10520</strong> (CVSS 10/10) : <strong>Injection de commandes OS pré-authentifiée</strong> dans Ivanti Sentry avant les versions R10.5.2, R10.6.2 et R10.7.1. Permet à un attaquant distant non authentifié d&rsquo;obtenir une <strong>exécution de code à distance avec privilèges root</strong>.</li> <li><strong>CVE-2026-10523</strong> : <strong>Contournement d&rsquo;authentification</strong> (CWE-288) dans les mêmes versions, permettant la création de comptes administrateurs arbitraires et l&rsquo;obtention d&rsquo;un accès administratif complet. Découvert par Bryan Lam.</li> </ul> <h2 id="-analyse-technique">🛠️ Analyse technique</h2> <p>L&rsquo;analyse porte sur la comparaison entre les versions <strong>Ivanti/MobileIron Sentry 10.5.1 (vulnérable)</strong> et <strong>10.5.2 (corrigée)</strong>.</p>