Ivanti hat ein Update für Neurons for ITSM veröffentlicht, das zwei als mittelschwer eingestufte Schwachstellen behebt. Sie betreffen gleichermaßen lokale Installationen und Cloud-Bereitstellungen.

Die erste Schwachstelle wird unter CVE-2026-4913 geführt und mit einem CVSS-Wert von 5,7 bewertet. Ivanti beschreibt sie als unzureichende Absicherung eines alternativen Zugriffspfads. Laut Hersteller könnte sie es einem angemeldeten Angreifer aus der Ferne erlauben, seinen Zugang zu behalten, obwohl sein Konto bereits deaktiviert wurde.

Die zweite Lücke, CVE-2026-4914 mit einem CVSS-Wert von 5,4, ist ein gespeichertes Cross-Site-Scripting-Problem (XSS). Sie lässt sich aus der Ferne ausnutzen, um begrenzte Informationen aus anderen Benutzersitzungen zu erlangen. In seiner Sicherheitsmitteilung weist Ivanti darauf hin, dass ein erfolgreicher Angriff sowohl eine Authentifizierung als auch eine Nutzerinteraktion erfordert.

Beide Schwachstellen sind in Neurons for ITSM Version 2025.4 behoben. Ivanti empfiehlt Anwendern, ihre Installationen so schnell wie möglich zu aktualisieren. Für die Cloud-Variante ist nach Herstellerangaben kein Eingreifen nötig: Der Fix wurde laut Ivanti am 12. Dezember 2025 in allen Cloud-Umgebungen eingespielt.

Nach Angaben des Unternehmens gibt es keine Hinweise auf eine aktive Ausnutzung der beiden Lücken. Andere Ivanti-Produkte seien nicht betroffen.

Ergänzend aktualisierte Ivanti seine Sicherheitsmitteilung zu CVE-2025-26465 und CVE-2025-26466, zwei Schwachstellen in OpenSSH, die im Februar 2026 offengelegt wurden. Die Produkte EPMM, Sentry und Connector seien davon nicht betroffen; eine aktualisierte OpenSSH-Version werde jedoch in künftige Releases aufgenommen.