Blog Blog

Ivanti EPMM CVE-2026-6973: zero-day explotado, RCE autenticada y parche urgente

May 8, 2026
Nestor Martin Guerra Garcia (Dr.Plaga)
CVE
Ivanti EPMM CVE-2026-6973: zero-day explotado, RCE autenticada y parche urgente

# Ivanti EPMM CVE-2026-6973: zero-day explotado, RCE autenticada y parche urgente

Ivanti volvió a quedar en el centro del radar defensivo con una nueva vulnerabilidad explotada activamente en Endpoint Manager Mobile, también conocido como EPMM.

La falla principal es CVE-2026-6973, una vulnerabilidad de improper input validation que afecta versiones de Ivanti EPMM anteriores a 12.6.1.1, 12.7.0.1 y 12.8.0.1. Según la descripción oficial, permite que un usuario remoto autenticado con acceso administrativo logre ejecución remota de código.

No es una RCE anónima sin credenciales. Ese matiz importa.

Pero tampoco es una falla menor. Estamos hablando de una plataforma de administración de dispositivos móviles, es decir, una pieza con acceso sensible dentro de muchas organizaciones.

## Estado de evidencia

El caso debe tratarse como vulnerabilidad activa y prioritaria.

Ivanti informó que tiene conocimiento de una cantidad muy limitada de clientes explotados mediante CVE-2026-6973. CISA también incorporó la vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas, KEV.

Eso cambia la prioridad de respuesta.

Cuando una vulnerabilidad entra en KEV, ya no estamos hablando solo de severidad teórica o de una métrica CVSS prolija para decorar dashboards. Estamos hablando de explotación observada y necesidad de remediación rápida.

## Qué es Ivanti EPMM

Ivanti Endpoint Manager Mobile es una solución de gestión de dispositivos móviles usada para administrar endpoints, políticas, perfiles, certificados, aplicaciones y controles sobre dispositivos corporativos o enrolados.

En términos simples: no es un sistema decorativo.

Un EPMM comprometido puede convertirse en una pieza crítica para moverse dentro de la administración de dispositivos, manipular políticas, abusar de confianza interna o facilitar acciones posteriores, dependiendo de la configuración y del nivel de acceso obtenido.

Por eso, aunque CVE-2026-6973 requiera autenticación administrativa, el riesgo sigue siendo serio. Si el atacante ya consiguió credenciales o acceso administrativo por otra vía, esta falla puede servir como escalón para ejecución de código.

## Detalles técnicos conocidos

La vulnerabilidad está clasificada como improper input validation.

Las versiones afectadas son:

- Ivanti EPMM anteriores a 12.6.1.1
- Ivanti EPMM anteriores a 12.7.0.1
- Ivanti EPMM anteriores a 12.8.0.1

La explotación exitosa requiere un usuario remoto autenticado con privilegios administrativos y puede derivar en ejecución remota de código.

La puntuación reportada por NVD para CVSS v3.1 es 7.2, con privilegios altos requeridos. Eso puede llevar a algunos equipos a subestimarla. Error bastante humano, así que no sorprende.

El punto no es solo el score. El punto es el contexto: producto sensible, explotación real y disponibilidad de parches.

## Cinco vulnerabilidades, una explotada

Ivanti publicó correcciones para múltiples vulnerabilidades de alta severidad en EPMM. CVE-2026-6973 es la más urgente por estar explotada, pero no conviene mirar solo esa y cerrar el ticket como si nada.

También se reportaron otras fallas asociadas a acceso administrativo, validación de certificados, exposición de información o invocación de métodos arbitrarios, según advisories y reportes públicos.

La lectura defensiva es simple: si administrás EPMM, actualizá toda la instancia siguiendo el advisory del vendor. No hagas cirugía estética parcheando solo la CVE que salió en titulares.

## Por qué importa para empresas

La gestión móvil suele quedar en una zona incómoda del inventario: no siempre es vista como infraestructura crítica, pero administra dispositivos, identidades, certificados, políticas y acceso corporativo.

Cuando una plataforma así queda comprometida, el impacto puede ir más allá del servidor afectado.

Riesgos posibles:

- ejecución de código sobre la plataforma
- abuso de permisos administrativos
- manipulación de configuraciones
- impacto sobre dispositivos administrados
- movimiento posterior si hay integraciones internas
- robo o abuso de credenciales administrativas
- pérdida de confianza en la cadena de administración móvil

En criollo: si administrás celulares corporativos desde ahí, no es un panel más. Es una palanca.

## Contexto Ivanti

Ivanti viene acumulando exposición fuerte en el último tiempo. Varios productos de la marca han sido foco de explotación activa, ingreso a KEV y respuesta urgente por parte de defensores.

Esto no significa que cada vulnerabilidad nueva sea parte de la misma campaña ni que haya que atribuir todo al mismo actor. Sería cómodo, pero también bastante flojo.

Lo que sí permite decir es que Ivanti sigue siendo un vendor muy observado por atacantes y defensores. Cuando aparece una falla explotada en un producto de administración, la prioridad debe subir automáticamente.

## Impacto para LATAM

En LATAM, muchas organizaciones usan soluciones de administración móvil, VPN, gateways, EDR, MDM y productos de gestión con exposición parcial o integraciones internas heredadas.

El riesgo no está solo en tener Ivanti EPMM. El riesgo está en no saber:

- qué versión está corriendo
- quién tiene acceso administrativo
- qué integraciones están activas
- si hay cuentas privilegiadas antiguas
- si hay logs útiles para investigación
- si el producto está expuesto más de lo necesario
- si existe un proceso real de actualización urgente

La madurez de patch management y de inventario suele ser la diferencia entre “lo corregimos hoy” y “nos enteramos por un incidente”. Hermoso método de auditoría, carísimo y humillante.

## Acciones recomendadas

Para equipos defensivos:

1. Identificar todas las instancias de Ivanti EPMM.
2. Validar versión instalada.
3. Actualizar a 12.6.1.1, 12.7.0.1 o 12.8.0.1 según rama correspondiente.
4. Revisar accesos administrativos recientes.
5. Auditar cuentas privilegiadas y eliminar accesos innecesarios.
6. Revisar logs de autenticación y actividad administrativa.
7. Buscar cambios de configuración no autorizados.
8. Verificar integraciones, certificados, perfiles y tokens.
9. Aplicar segmentación y restricción de acceso administrativo.
10. Tratar cualquier instancia vulnerable con exposición o actividad rara como posible compromiso.

## Recomendación editorial para defensores

No comuniques esta vulnerabilidad como “RCE sin autenticación”, porque no lo es según la descripción pública disponible.

La forma correcta es:

“CVE-2026-6973 permite RCE a un usuario remoto autenticado con privilegios administrativos y ya fue explotada en ataques limitados.”

Ese matiz mejora la precisión y evita inflar la amenaza de forma innecesaria. Pero tampoco hay que minimizarla: explotación activa + KEV + producto de administración = prioridad alta.

## Conclusión

CVE-2026-6973 no es la vulnerabilidad más espectacular del mes en términos de CVSS. Tampoco necesita serlo.

Es una falla explotada activamente en una plataforma de administración móvil empresarial. Requiere privilegios administrativos, sí. Pero en un escenario real, donde los atacantes combinan credenciales robadas, accesos previos y movimiento lateral, ese requisito no vuelve irrelevante el riesgo.

La respuesta correcta es simple:

inventariar, actualizar, revisar accesos, auditar actividad y reducir exposición administrativa.

Cuando una plataforma que administra dispositivos se convierte en objetivo, el parche no es opcional. Es higiene básica.

Soy DrPlaga.
Menos humo, más evidencia.

Nestor Martin Guerra Garcia (Dr.Plaga)

Nestor Martin Guerra Garcia (Dr.Plaga)

Threat intelligence | Protección de Datos y Gestión de Riesgos | Old school
Volver al blog