Ivanti Sentry : injection de commandes OS pré-authentifiée critique (CVE-2026-10520, CVSS 10)
🔍 Contexte Publié le 10 juin 2026 par WatchTowr Labs, cet article présente l’analyse technique de deux vulnérabilités découvertes dans Ivanti Sentry (anciennement MobileIron Sentry), une passerelle inline gérant le trafic entre appareils mobiles et systèmes d’entreprise. 🚨 Vulnérabilités identifiées CVE-2026-10520 (CVSS 10/10) : Injection de commandes OS pré-authentifiée dans Ivanti Sentry avant les versions R10.5.2, R10.6.2 et R10.7.1. Permet à un attaquant distant non authentifié d’obtenir une exécution de code à distance avec privilèges root. CVE-2026-10523 : Contournement d’authentification (CWE-288) dans les mêmes versions, permettant la création de comptes administrateurs arbitraires et l’obtention d’un accès administratif complet. Découvert par Bryan Lam. 🛠️ Analyse technique L’analyse porte sur la comparaison entre les versions Ivanti/MobileIron Sentry 10.5.1 (vulnérable) et 10.5.2 (corrigée). ...