Op 9 juni 2026 heeft Ivanti een security advisory uitgebracht waarin twee kritieke kwetsbaarheden in hun Sentry-producten worden beschreven. Deze kwetsbaarheden kunnen door een aanvaller worden misbruikt om zonder authenticatie op afstand code uit te voeren met rootrechten op het kwetsbare apparaat.

De eerste kwetsbaarheid, CVE-2026-10520, heeft een CVSS-score van 10 en betreft een OS Command Injection in Ivanti Sentry. Hierdoor kan een externe, niet-geauthenticeerde gebruiker op rootniveau code uitvoeren. De tweede kwetsbaarheid, CVE-2026-10523, met een CVSS-score van 9.9, betreft een authenticatie-omzeiling die een aanvaller in staat stelt om willekeurige administratieve accounts aan te maken en volledige beheerdersrechten te verkrijgen. De getroffen versies van Ivanti Sentry zijn 10.5.1 en eerder, 10.6.1 en eerder, en 10.7.0 en eerder.

CERT-EU adviseert gebruikers om de richtlijnen van de leverancier te volgen en hun apparaten bij te werken naar een van de gepatchte versies. Meer informatie is beschikbaar in de security advisory van Ivanti.