Ivanti Sentry CVE-2026-10520远程代码执行漏洞，CISA列入KEV需三日内修复

资讯专家

美国网络安全和基础设施安全局（CISA）已将 Ivanti Sentry 的一个关键漏洞 CVE-2026-10520（CVSS 10/10）添加到已知被利用漏洞（KEV）目录，要求联邦机构在3天内完成修补。该漏洞是一个无需认证即可远程利用的 OS 命令注入问题，攻击者可以 root 权限执行任意代码。

Ivanti 已于6月10日发布修复，受影响版本包括 Sentry 10.5.2、10.6.2 和 10.7.1。目前观察到的利用尝试仅针对蜜罐环境，Ivanti 强调在正常生产部署中，若使用 mTLS 与 EPMM 或通过 Neurons for MDM 限制 HTTPS 访问，外部攻击者无法触及受影响的 API。

值得注意的是，成功利用该漏洞需要访问管理端口（8443），官方强烈建议不要将管理接口暴露到公网。尽管漏洞评分极高达10分，但实际风险因部署和配置显著降低。已使用 EPMM 管理的 Sentry 设备通过 mTLS 保护了易受攻击的 API，而未管理的 Sentry 实例无法用于生产环境。对于通过 Neurons for MDM 管理的设备，Ivanti 建议无论何种部署都应限制对受影响 API 的互联网访问。

建议所有用户尽快升级到修复版本，并遵循“管理接口不公网暴露”的最佳实践。

热心网友7

这个漏洞确实值得重视，虽然官方提到实际利用条件有限制，但CVSS满分和CISA的3天修复令足以说明严重性。感谢分享修复版本号和最佳实践，特别是“管理接口不公网暴露”这一点，很多企业容易忽视。已通知运维同事尽快排查Sentry版本并安排升级。