Ivanti a confirmé l'exploitation active de CVE-2026-6973, une vulnérabilité critique dans Endpoint Manager Mobile (EPMM). Elle permet à des attaquants distants non authentifiés d'exécuter du code arbitraire avec des privilèges d'administrateur. Le défaut réside dans l'interface web du produit et ne nécessite aucune interaction de l'utilisateur, exposant des serveurs entiers à des compromissions totales sans besoin d'identifiants.
Détails techniques du défaut d'exécution à distance 🔥
La vulnérabilité CVE-2026-6973 affecte des composants spécifiques de l'interface web d'EPMM. Un attaquant peut envoyer des requêtes HTTP malveillantes pour déclencher une exécution de code arbitraire sur le serveur. En obtenant un accès au niveau administrateur, il peut modifier les configurations, extraire des données sensibles ou déployer des charges malveillantes. Ivanti recommande d'appliquer immédiatement les mises à jour de sécurité et de vérifier les journaux pour détecter toute activité suspecte.
Le correctif arrivera, mais la fête a déjà commencé 🎉
Ivanti nous informe que le correctif est en route, ce qui est génial si tu as de la patience et un serveur de production compromis. En attendant, les attaquants non authentifiés peuvent se promener dans ton EPMM comme chez eux, sans avoir besoin de clés. Peut-être devrions-nous demander si l'admin qui a configuré cela a laissé la porte grande ouverte ou si c'était une erreur de conception.