Ivanti, patch maggio 2026: sette CVE e una SQL injection RCE

Ivanti, patch maggio 2026: sette CVE e una SQL injection RCE

Ivanti ha rilasciato aggiornamenti di sicurezza il 13 maggio 2026 per quattro prodotti enterprise — Secure Access Client, Virtual Traffic Manager, Xtraction e Endpoint Manager — correggendo sette vulnerabilità. Al centro del bollettino figurano una SQL injection nella web console di Endpoint Manager in grado di condurre a remote code execution senza diritti di amministratore e un errore di esposizione di metodi pericolosi nel Core Server che può causare l'esfiltrazione di credenziali. Il rilascio arriva mentre Ivanti integra modelli linguistici di grandi dimensioni nel flusso della red team interna per scoprire falle prima che vengano analizzate dai ricercatori indipendenti, ma la frequenza delle patch non accenna a diminuire.

I prodotti interessati rappresentano un perimetro critico nelle grandi organizzazioni: EPM gestisce l'intero parco endpoint, mentre Secure Access Client e vTM controllano l'accesso remoto e il bilanciamento del traffico. La presenza ricorrente di Ivanti nel catalogo KEV della CISA — sebbene con riferimento a vulnerabilità precedenti — e il target storico dei suoi prodotti da parte di ransomware e gruppi APT rendono la tempestività dell'aggiornamento un parametro non negoziabile per i team di sicurezza.

La SQL injection to RCE nel pannello web di EPM

La vulnerabilità CVE-2026-8111 risiede nella console web di Ivanti Endpoint Manager ed è classificata come SQL injection (CWE-89). Un attaccante remoto autenticato, anche senza privilegi di amministratore, può sfruttarla per eseguire codice arbitrario sul server. La condizione PR:L — Privileges Required: Low — indica che bastano credenziali ordinarie per innescare la catena che porta al remote code execution. Questo scenario è critico perché la console EPM gestisce distribuzione software e policy sui dispositivi aziendali: un compromesso a questo livello si traduce in controllo dell'infrastruttura di gestione endpoint e possibile movimento laterale.

La natura autenticata ma non privilegiata della falla significa che un qualsiasi account con accesso alla console può innescare la catena di attacco. La mancanza di punteggi CVSS specifici nelle fonti disponibili impedisce una quantificazione numerica immediata, ma la criticità del componente esposto non lascia margini alla procrastinazione.

Esfiltrazione credenziali e autenticazione bypassabile

CVE-2026-8109 colpisce invece il Core Server di EPM ed è catalogata come exposed dangerous method (CWE-749). Il difetto consente a un utente remoto autenticato di estrarre credenziali di accesso dal sistema. Sebbene Ivanti confermi che l'exploitation richieda autenticazione, analisi tecniche indipendenti segnalano che il meccanismo esistente potrebbe essere aggirato. Questo dettaglio, non verificato ufficialmente dal vendor, alza il livello di pericolo perché abbassa la barriera all'accesso ai dati sensibili. L'esfiltrazione di credenziali amministrative o di servizio comprometterebbe la fiducia nell'intero perimetro di gestione.

Ivanti non ha reso disponibili punteggi CVSS dettagliati per ciascuna CVE nelle fonti consultate, pertanto la valutazione del rischio rimane ancorata ai descrittori qualitativi e alla criticità dei componenti esposti. La combinazione di esfiltrazione credenziali e potenziale bypass dell'autenticazione posiziona la falla tra le priorità assolute del patching di maggio.

Le altre cinque falle: da vTM a Xtraction

Accanto alle tre falle di Endpoint Manager — la terza è una privilege escalation locale nell'agente EPM (CVE-2026-8110) — il bollettino del 13 maggio riguarda altri tre prodotti. Secure Access Client risolve due problemi locali: l'esposizione di log sensibili (CVE-2026-7431) e una privilege escalation (CVE-2026-7432), entrambe fino alla versione 22.8R6. Virtual Traffic Manager chiude una OS command injection nell'interfaccia amministrativa (CVE-2026-8051) per le release precedenti alla 22.9r4, mentre Xtraction corregge un path traversal che consente scrittura arbitraria di file (CVE-2026-8043) nelle versioni antecedenti alla 2026.2.

Nessuna di queste falle, secondo la comunicazione ufficiale, interessa altri prodotti del portfolio Ivanti. Le versioni interessate confermano che la mitigazione passa attraverso l'aggiornamento a EPM 2024 SU6, Secure Access Client 22.8R6, vTM 22.9r4 e Xtraction 2026.2. Non sono emersi, nelle fonti disponibili, dettagli su test di verifica indipendenti delle patch rilasciate.

"Ivanti confirmed that none of these vulnerabilities have been exploited in the wild and that they do not affect any other Ivanti solutions."

Il ruolo dell'intelligenza artificiale nella scoperta

Ivanti ha dichiarato che alcune delle sette vulnerabilità emerse nel Patch Tuesday di maggio sono state individuate tramite revisione assistita da modelli linguistici di grandi dimensioni, integrati nel workflow della red team interna. L'approccio, secondo quanto reso noto, serve a individuare falle che strumenti SAST e DAST tradizionali non rileverebbero. La novità metodologica non modifica l'entità dei difetti corretti, ma mostra un vendor che accelera sulla scoperta proattiva pur mantenendo un ritmo di pubblicazione correttivi sostenuto.

L'integrazione di LLM nella red team segue una tendenza industriale, ma Ivanti non ha fornito metriche comparative sul tasso di scoperta rispetto agli strumenti convenzionali. Ciò che resta verificabile è il risultato: sette CVE chiuse in un singolo bollettino, di cui alcune riconducibili a review automatizzate. Resta però aperto il quesito se l'uso di LLM ridurrà il tempo medio tra l'introduzione del codice vulnerabile e il rilascio della patch.

Cosa fare adesso

• Aggiornare Ivanti Endpoint Manager alla versione 2024 SU6 o successiva senza ritardo, poiché le tre CVE del prodotto consentono RCE, furto di credenziali ed escalation locale.
• Applicare le patch per Secure Access Client 22.8R6, Virtual Traffic Manager 22.9r4 e Xtraction 2026.2 secondo le tempistiche della policy di patch management aziendale.
• Limitare l'esposizione della web console di EPM alla rete interna o tramite accesso VPN, riducendo la superficie di attacco per i vettori che richiedono accesso remoto autenticato.
• Monitorare i log di autenticazione del Core Server EPM e le query al database della console per accessi anomali o pattern sospetti in attesa del completamento degli aggiornamenti.

Il messaggio che emerge dal bollettino di maggio è duplice: da un lato Ivanti dimostra di voler chiudere la forbice tra scoperta e correzione attraverso l'intelligenza artificiale, dall'altro la presenza di una SQL injection classica che porta a RCE ricorda che gli strumenti più avanzati non annullano la necessità di validare rigorosamente gli input nelle console di gestione. Per le enterprise che affidano ad EPM il controllo della propria rete endpoint, il patching resta l'unica metrica che conta.

Domande frequenti

Perché la SQL injection in EPM è classificata come RCE pur richiedendo autenticazione?

Perché la vulnerabilità CVE-2026-8111 è innescabile da un utente remoto autenticato con privilegi bassi (PR:L). La SQL injection nella console web permette di eseguire codice arbitrario sul server senza disporre di diritti amministrativi, rendendo la falla un vettore di compromissione totale della piattaforma.

L'autenticazione richiesta per CVE-2026-8109 riduce significativamente il rischio?

Non completamente. Sebbene Ivanti classifichi la vulnerabilità come richiedente autenticazione, analisi tecniche indipendenti segnalano che il meccanismo esistente potrebbe essere aggirato. Questo potenziale bypass non verificato dal vendor rende la falla più pericolosa di una semplice disclosure post-autenticazione.

Le patch correggono solo Endpoint Manager o l'intera suite Ivanti?

Il bollettino copre quattro prodotti distinti — EPM, Secure Access Client, Virtual Traffic Manager e Xtraction — per un totale di sette CVE. Ivanti ha dichiarato esplicitamente che le vulnerabilità non interessano altre soluzioni del proprio portfolio.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• https://www.systemtek.co.uk/2026/05/ivanti-endpoint-manager-remotecontrolauth-exposed-dangerous-method-information-disclosure-vulnerability-cve-2026-8109/
• https://cybersecuritynews.com/ivanti-patches-multiple-vulnerabilities/