Три великі вендори — Fortinet, Ivanti і SAP — одночасно випустили оновлення безпеки, які в сукупності усувають сім критичних вразливостей з оцінками CVSS від 9.0 до 10.0. Найнебезпечніша з них, CVE-2026-10520 в Ivanti Sentry, отримала максимальну оцінку 10.0 і дає змогу неавтентифікованому зловмиснику отримати віддалене виконання коду з правами root. Усі вразливості дозволяють виконання довільного коду або несанкціонований доступ до даних. Експлуатацію в реальних атаках станом на момент публікації не зафіксовано, однак для CVE-2026-10520 оприлюднено технічні деталі експлуатації, що суттєво підвищує ризик. Організаціям, які використовують уражені продукти, варто встановити оновлення в пріоритетному порядку.
Fortinet FortiSandbox: інʼєкція команд ОС без автентифікації
Згідно з бюлетенем Fortinet PSIRT, вразливість CVE-2026-25089 (CVSS 9.1) належить до класу CWE-78 — некоректна нейтралізація спеціальних елементів, що використовуються в командах операційної системи. Неавтентифікований зловмисник може виконати довільні команди ОС через спеціально сформовані HTTP-запити до вебінтерфейсу FortiSandbox.
Уражені продукти та версії:
- FortiSandbox 5.0.0–5.0.5 → оновити до 5.0.6 або вище
- FortiSandbox 4.4.0–4.4.8 → оновити до 4.4.9 або вище
- FortiSandbox Cloud 5.0.4–5.0.5 → оновити до 5.0.6 або вище
- FortiSandbox PaaS 5.0.4–5.0.5 → оновити до 5.0.6 або вище
FortiSandbox — ключовий компонент інфраструктури захисту від зловмисного програмного забезпечення, і компрометація цього рішення може відкрити зловмиснику доступ до аналізованих зразків і внутрішньої мережі організації.
Ivanti Sentry: максимальна критичність і публічний аналіз експлуатації
Ivanti опублікувала виправлення для двох вразливостей в Ivanti Sentry (раніше MobileIron Sentry), обидві з яких стосуються версій до R10.5.2, R10.6.2 і R10.7.1:
- CVE-2026-10520 (CVSS 10.0) — інʼєкція команд ОС, що дає змогу неавтентифікованому зловмиснику отримати віддалене виконання коду з правами root.
- CVE-2026-10523 (CVSS 9.9) — обхід автентифікації, який дозволяє неавтентифікованому зловмиснику створювати довільні адміністративні облікові записи та отримувати повний адміністративний доступ.
За даними дослідників watchTowr Labs, експлуатація CVE-2026-10520 здійснюється через надсилання спеціально сформованого HTTP-запиту до ендпоінта /mics/api/v2/sentry/mics-config/handleMessage. Запит інтерпретується як конфігураційна команда MICS і виконується серверним компонентом handleExecute(). Дослідник Сонні Макдональд зазначив, що патч Ivanti реалізує дворівневий захист: перенаправлення неавтентифікованих запитів на сторінку входу та блокування доступу до вразливого ендпоінта — фактично додаючи автентифікацію там, де її не було.
Комбінація CVE-2026-10520 і CVE-2026-10523 становить особливу небезпеку: обхід автентифікації може використовуватися для закріплення в системі після початкової компрометації через інʼєкцію команд, створюючи стійкий бекдор з адміністративними привілеями.
SAP: чотири критичні вразливості в ключових платформах
У межах червневого оновлення безпеки SAP усунула чотири критичні вразливості:
- CVE-2026-44748 (CVSS 9.9) — підміна XML-підпису в механізмі автентифікації SAML у SAP NetWeaver AS ABAP і ABAP Platform. За даними Onapsis, автентифікований зловмисник із типовими привілеями може отримати валідне підписане повідомлення, змінити ідентифікаційні дані в XML-документі та надіслати його верифікатору. Через некоректну перевірку XML-підпису змінені дані приймаються, що призводить до несанкціонованого доступу до конфіденційних даних користувачів.
- CVE-2026-27671 (CVSS 9.8) — пошкодження памʼяті в Application Server ABAP. Неавтентифікований зловмисник може надіслати спеціально сформований RFC-запит, експлуатуючи некоректну валідацію протоколу RFC ядром SAP.
- CVE-2026-22732 (CVSS 9.1) — вразливість Spring Security у SAP Commerce Cloud та SAP Data Hub.
- CVE-2026-40128 (CVSS 9.0) — обхід каталогу в SAP NetWeaver Application Server Java (Web Container).
Вразливість CVE-2026-44748 заслуговує на особливу увагу для організацій, які використовують SAML-автентифікацію із SAP: успішна атака дає змогу підмінити ідентифікацію користувача, що може призвести до компрометації привілейованих облікових записів в ERP-системі.
Оцінка ризиків та рекомендації
Жодна з перелічених вразливостей на момент публікації не внесена до каталогу CISA KEV, і підтверджених випадків експлуатації в реальних атаках не зафіксовано. Однак публікація технічних деталей експлуатації CVE-2026-10520 дослідниками watchTowr Labs суттєво скорочує час до появи робочих експлойтів.
Пріоритети оновлення:
- Найвищий пріоритет — Ivanti Sentry: оновлення до R10.5.2, R10.6.2 або R10.7.1 залежно від використовуваної гілки. Наявність публічного аналізу експлуатації за максимальної оцінки CVSS 10.0 робить цю вразливість першочерговою.
- Високий пріоритет — FortiSandbox: оновлення до версій 5.0.6 або 4.4.9 відповідно. Вразливість не потребує автентифікації та експлуатується через HTTP.
- Високий пріоритет — SAP NetWeaver та повʼязані продукти: встановлення відповідних виправлень із червневого пакета оновлень SAP. Особливу увагу слід приділити системам із SAML-автентифікацією (CVE-2026-44748) і публічно доступними RFC-інтерфейсами (CVE-2026-27671).
Як тимчасовий захід для Ivanti Sentry рекомендовано обмежити мережевий доступ до ендпоінта /mics/api/v2/sentry/mics-config/handleMessage засобами міжмережевого екрана або зворотного проксі до встановлення патча.
Одночасна публікація критичних оновлень від трьох вендорів створює підвищене навантаження на команди безпеки. З огляду на наявність публічного аналізу експлуатації для Ivanti Sentry та відсутність автентифікації як барʼєра для більшості описаних вразливостей, встановлення патчів слід завершити протягом 48–72 годин, починаючи з Ivanti Sentry та FortiSandbox як найбільш імовірних цілей для зловмисників.
