Im Zentrum steht CVE-2026-6973, eine Schwachstelle vom Typ fehlerhafte Eingabevalidierung. Sie betrifft Endpoint Manager Mobile in allen Fassungen vor den Versionen 12.6.1.1, 12.7.0.1 und 12.8.0.1. Mit einem CVSS-Wert von 7.2 wird sie als hochgradig eingestuft. Über den Fehler kann ein aus der Ferne authentifizierter Nutzer mit administrativen Rechten beliebigen Code ausführen.
Ivanti bestätigt in seiner Sicherheitsmeldung, dass eine sehr geringe Zahl von Kunden tatsächlich angegriffen wurde. Voraussetzung für einen erfolgreichen Angriff ist eine Authentifizierung als Administrator. Wer einer früheren Empfehlung des Herstellers gefolgt ist, nach einer Kompromittierung durch CVE-2026-1281 und CVE-2026-1340 die Zugangsdaten zu wechseln, ist dem Unternehmen zufolge deutlich weniger gefährdet.
Offen bleibt, wer für die Angriffe verantwortlich ist, ob einzelne Versuche erfolgreich waren und welches Ziel die Angreifer verfolgten.
Die aktive Ausnutzung hat die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) veranlasst, die Schwachstelle in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufzunehmen. Damit sind die zivilen US-Bundesbehörden (Federal Civilian Executive Branch) verpflichtet, die bereitgestellten Korrekturen bis zum 10. Mai 2026 einzuspielen.
Neben CVE-2026-6973 hat Ivanti in EPMM vier weitere Schwachstellen behoben. Nach Angaben des Herstellers betreffen die Probleme ausschließlich die lokal betriebene On-Premises-Variante von EPMM. Nicht betroffen sind Ivanti Neurons for MDM, die cloudbasierte Lösung des Anbieters für einheitliches Endgerätemanagement, das ähnlich benannte, aber andere Produkt Ivanti EPM, Ivanti Sentry sowie alle weiteren Produkte des Herstellers.