Vulnerabilidades críticas en Ivanti 2026

Vulnerabilidad - 10/02

Introducción

CVE-2026-1281 y CVE-2026-1340 son dos vulnerabilidades críticas de ejecución remota de código (RCE) que afectan a Ivanti Endpoint Manager Mobile (EPMM). Ambas vulnerabilidades permiten a un atacante remoto ejecutar comandos arbitarios en el servidor vulnerable sin necesidad de credenciales, se explotan a través de parámetros maliciosos en solicitudes HTTP, aprovechando la falla en el manejo de entradas y pueden dar lugar a web shells, reverse shells o cargas útiles que mantienen persistencia y control.

Varias instituciones han confirmado haber sufrido incidentes de seguridad relacionados con estas vulnerabilidades. La Autoridad de Protección de Datos de los Países Bajos y el Consejo Judicial holandés notificaron al parlamento que sus sistemas fueron comprometidos. Los atacantes accedieron a datos de empleados, como nombres, correos electrónicos profesionales y números de teléfono. La Comisión Europea también detectó un ataque a la infraestructura que gestiona dispositivos móviles de su personal. Aunque los dispositivos móviles no fueron comprometidos, pudo haber acceso a nombres y números de teléfonos de algunos empleados.

Análisis

CVE-2026-1281 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8

La vulnerabilidad radica en un manejo inadecuado de entradas en componentes del servidor web de EPMM. Un atacante remoto puede enviar solicitudes especialmente creadas a endpoints vulnerables que procesan ciertos parámetros sin sanitizarlos correctamente. Esto permite que código arbitrario sea ejecutado en el servidor sin requerir credenciales ni interacción de un usuario legítimo. La vulnerabilidad afecta  a varias versiones de EPMM anteriores a la 12.8.0.0. 

CVE-2026-1340 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8

La falla se produce por manejo incorrecto de entradas de usuario en componentes expuestos del servidor EPMM, lo que permite a un atacante inyectar código directamente. Un atacante puede enviar solicitudes HTTP especialmente diseñadas contra el sistema y hacer que el servidor ejecute comandos arbitrarios con los mismos privilegios con los que corre el proceso EPMM. La vulnerabilidad afecta a las mismas ramas que CVE‑2026‑1281.

Workarounds

No hay workarounds para estas vulnerabilidades.

Referencias

• https://hub.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US
• https://open.overheid.nl/documenten/3ea80b7e-deca-41cc-82f6-3a1b9ab84120/file
• https://therecord.media/eu-dutch-government-announce-hacks-ivanti-zero-days
• https://www.helpnetsecurity.com/2026/02/09/european-commission-ivanti-epmm-vulnerabilities/