| CVE ID | CVE-2026-10520 |
|---|---|
| 製品 | Ivanti / Sentry |
| CVSS | 10.0(Critical) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| 種別 (CWE) | CWE-78 OS コマンドインジェクション |
| 登録/公開日 | 2026/06/11 |
| KEV 期限 | 2026/06/14 まで(米国連邦機関向け目安) |
| 推奨対応 | ベンダー指示に従って緩和策を適用(BOD 26-04 準拠) |
| 出典 | https://nvd.nist.gov/vuln/detail/CVE-2026-10520 |
Ivanti Sentry の OS コマンドインジェクションの脆弱性。リモートの未認証攻撃者が root 権限で任意コード実行(RCE)に至る。実際に悪用が確認されている。修正版は R10.5.2 / R10.6.2 / R10.7.1。
各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。
| 環境 | 対応状況 | 対応方法・備考 |
|---|---|---|
| AWS (ECS/EC2) | パッチあり(アプリ更新) |
EC2 上の Ivanti Sentry を R10.5.2/R10.6.2/R10.7.1 へ更新
自己管理アプライアンス。AWS 固有の修正提供はなく利用者側で適用。
参照リンク
|
| GCP | パッチあり(アプリ更新) |
GCE 上の Ivanti Sentry を修正版へ更新
GCP 固有の修正提供は確認できず。利用者側で適用。
参照リンク
|
| Azure | パッチあり(アプリ更新) |
Azure VM 上の Ivanti Sentry を修正版へ更新
Azure 固有の修正提供は確認できず。利用者側で適用。
参照リンク
|
| Linux | パッチあり(アプリ更新) |
Ivanti Sentry を修正版へアップグレード
ベンダー配布のアプライアンス。Ivanti 公式更新を適用。ディストリのパッケージ対象外。
参照リンク
|
Ivanti 公式の指示に従い R10.5.2 / R10.6.2 / R10.7.1 へアップグレードするのが最優先。管理インターフェースをインターネットに公開しない構成も併用推奨。