Ivanti修補安全閘道Sentry重大漏洞，可讓攻擊者以root權限執行程式碼

其中，CVE-2026-10520是作業系統命令注入漏洞，CVSS風險分數為10.0分。Ivanti指出，攻擊者可在未經驗證的情況下遠端利用此漏洞，以root權限執行程式碼。另一項CVE-2026-10523則是驗證繞過漏洞，CVSS風險分數為9.9分，可能讓未通過身分驗證的遠端攻擊者建立任意管理員帳號，進而取得完整管理員權限。

受影響版本包括Ivanti Sentry 10.5.1、10.6.1、10.7.0及更早版本。Ivanti已釋出10.5.2、10.6.2與10.7.1版，建議客戶將設備更新至修補版本。Ivanti表示，在公告揭露時，尚未掌握有客戶遭攻擊者濫用這兩項漏洞的情況，目前也沒有已知公開濫用活動，因此無法提供入侵指標清單。

Bleeping Computer指出，由於Ivanti產品過去多次成為攻擊者鎖定目標，且這次修補的漏洞可導致攻擊者以root權限執行程式碼，或取得完整管理員權限，企業仍應優先盤點Ivanti Sentry部署情況，確認是否執行受影響版本，並儘速完成更新。