脆弱性対応ウォッチ重大・クリティカル脆弱性のクラウド別対応まとめ
最新CriticalHighAWSGCPAzureLinux
Critical CVSS 10.0 KEV 悪用確認
CVE-2026-10520

Ivanti Sentry OS コマンドインジェクション(root RCE)

CVE IDCVE-2026-10520
製品Ivanti / Sentry
CVSS10.0(Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
種別 (CWE)CWE-78 OS コマンドインジェクション
登録/公開日2026/06/11
KEV 期限2026/06/14 まで(米国連邦機関向け目安)
推奨対応ベンダー指示に従って緩和策を適用(BOD 26-04 準拠)
出典https://nvd.nist.gov/vuln/detail/CVE-2026-10520

概要

Ivanti Sentry の OS コマンドインジェクションの脆弱性。リモートの未認証攻撃者が root 権限で任意コード実行(RCE)に至る。実際に悪用が確認されている。修正版は R10.5.2 / R10.6.2 / R10.7.1。

クラウド/OS 別の対応状況

各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。

環境対応状況対応方法・備考
AWS (ECS/EC2) パッチあり(アプリ更新)
EC2 上の Ivanti Sentry を R10.5.2/R10.6.2/R10.7.1 へ更新
自己管理アプライアンス。AWS 固有の修正提供はなく利用者側で適用。
参照リンク
GCP パッチあり(アプリ更新)
GCE 上の Ivanti Sentry を修正版へ更新
GCP 固有の修正提供は確認できず。利用者側で適用。
参照リンク
Azure パッチあり(アプリ更新)
Azure VM 上の Ivanti Sentry を修正版へ更新
Azure 固有の修正提供は確認できず。利用者側で適用。
参照リンク
Linux パッチあり(アプリ更新)
Ivanti Sentry を修正版へアップグレード
ベンダー配布のアプライアンス。Ivanti 公式更新を適用。ディストリのパッケージ対象外。
参照リンク

解決の方向性(パッチ/回避策/代替)

Ivanti 公式の指示に従い R10.5.2 / R10.6.2 / R10.7.1 へアップグレードするのが最優先。管理インターフェースをインターネットに公開しない構成も併用推奨。

免責: 本ページは CISA KEV・NVD・各ベンダー公式アドバイザリ等の公開情報をもとにした非公式まとめです。修正バージョンや対応可否は変更される場合があります。実際の対応は必ず 出典元および各ベンダー公式情報・自環境で確認してください。

« 一覧に戻る