SchwachstellenCloud-SicherheitDatenschutz

Ivanti behebt zwei kritische Sicherheitslücken in Neurons for ITSM

Ivanti behebt zwei kritische Sicherheitslücken in Neurons for ITSM
Zusammenfassung

Der IT-Service-Management-Anbieter Ivanti hat zwei Sicherheitslücken in seinem Produkt „Neurons for ITSM" geschlossen, die sowohl On-Premises- als auch Cloud-Installationen betreffen. Die erste Schwachstelle (CVE-2026-4913) ermöglicht es einem authentifizierten Angreifer, nach der Deaktivierung seines Benutzerkontos weiterhin Zugriff auf das System zu behalten – ein erhebliches Sicherheitsrisiko für die Kontenverwaltung. Die zweite Lücke (CVE-2026-4914) stellt eine Stored-Cross-Site-Scripting-Schwachstelle dar, über die sensible Informationen aus anderen Benutzersitzungen abgerufen werden können. Beide Sicherheitslücken werden als Schweregrad-Mittel eingestuft und erfordern zur Ausnutzung Authentifizierung und Benutzerinteraktion. Für deutsche Unternehmen und Behörden, die Ivanti Neurons for ITSM als IT-Service-Management-Lösung einsetzen, ist ein schnelles Update auf Version 2025.4 essentiell. Cloud-Nutzer sind bereits geschützt, da Ivanti die Fixes am 12. Dezember 2025 automatisch eingespielt hat. Bislang gibt es keine Hinweise auf aktive Ausnutzung dieser Lücken in der Praxis. Dennoch sollten Organisationen ihre Systeme zeitnah patchen, um potenzielle Sicherheitsrisiken auszuschließen.

Ivanti hat zwei mittelschwere Sicherheitslücken in seiner IT-Service-Management-Lösung “Neurons for ITSM” geschlossen. Die Schwachstellen stellen ein erhebliches Risiko für Unternehmen dar, die das System zur Verwaltung ihrer IT-Infrastruktur einsetzen.

Die erste Lücke trägt die Bezeichnung CVE-2026-4913 und wird mit einem CVSS-Score von 5,7 bewertet. Sie betrifft die unzureichende Sicherung eines alternativen Zugriffspfads. Laut Ivanti könnte die Schwachstelle es einem authentifizierten Angreifer erlauben, weiterhin Zugriff auf sein Konto zu behalten, selbst nachdem sein Account deaktiviert wurde. Dies ist besonders problematisch, da es Sicherheitsteams in Unternehmen erschwert, einen kompromittierten Nutzer vollständig aus dem System zu entfernen.

Die zweite Schwachstelle (CVE-2026-4914, CVSS 5,4) wird als Stored Cross-Site Scripting (XSS) klassifiziert. Sie ermöglicht es einem authentifizierten Angreifer, mit entsprechender Benutzerinteraktion Informationen aus fremden Benutzersitzungen zu extrahieren. Dies könnte Unbefugten Einblick in sensible Daten anderer Nutzer verschaffen.

Der Softwarekonzern betont, dass für die Ausnutzung beider Lücken Authentifizierung erforderlich ist – es handelt sich also um Angriffe, die bereits auf ein berechtigtes Konto zugreifen müssen. Dennoch stellen sie in einer heterogenen IT-Umgebung, in der Zugangsrechte nicht optimal verwaltet werden, ein erhebliches Risiko dar.

Ivanti hat die Fixes in der Version 2025.4 bereitgestellt. Nutzer von On-Premises-Installationen sollten schnellstmöglich auf diese Version aktualisieren. Cloud-Kunden können aufatmen: Ivanti hat die Patches bereits am 12. Dezember 2025 in allen Cloud-Umgebungen automatisch eingespielt, ohne dass manuelle Eingriffe notwendig sind.

Zum aktuellen Zeitpunkt gibt es nach Angaben Ivantis keine dokumentierten Fälle, in denen diese Sicherheitslücken aktiv ausgenutzt worden sind. Allerdings rät das Unternehmen allen Nutzern, das Update möglichst zügig einzuspielen, um potenzielle Risiken zu minimieren.

Außerdem aktualisierte Ivanti seine Sicherheitshinweise zu zwei OpenSSH-Schwachstellen (CVE-2025-26465 und CVE-2025-26466), die im Februar 2026 bekannt wurden. Die Produkte Ivanti EPMM, Sentry und Connector sind nicht betroffen, allerdings kündigte das Unternehmen an, eine aktualisierte OpenSSH-Version in zukünftigen Releases zu integrieren.

Ähnliche Artikel