Descoberta e escopo
A Ivanti lançou suas atualizações de segurança de Patch Tuesday de maio de 2026, divulgando vulnerabilidades em quatro produtos enquanto revelava que ferramentas de inteligência artificial já estão ajudando seus engenheiros a descobrir falhas que scanners tradicionais perdem. A empresa confirmou que nenhuma dessas vulnerabilidades foi explorada em ambiente real e que não afetam outras soluções Ivanti.
A empresa abordou vulnerabilidades em quatro produtos distintos em 13 de maio de 2026: Ivanti Secure Access Client, Ivanti Xtraction, Ivanti Virtual Traffic Manager (vTM) e Ivanti Endpoint Manager (EPM). A Ivanti confirmou que nenhuma dessas vulnerabilidades foi explorada em ambiente real e que não afetam outras soluções Ivanti.
Impacto e alcance
Ivanti Secure Access Client: Uma falha no Ivanti Secure Access Client antes da versão 22.8R6 decorre de atribuição incorreta de permissão (CWE-732) em uma seção de memória compartilhada. Um atacante autenticado local pode ler ou modificar dados de log sensíveis. Uma condição de corrida (CWE-362) no Ivanti Secure Access Client antes da 22.8R6 permite que um atacante autenticado local ganhe uma janela de tempo para escalar privilégios para SYSTEM.
Ivanti Xtraction: A vulnerabilidade mais severa nesta série de boletins afeta o Ivanti Xtraction antes da versão 2026.2. Classificada sob CWE-22 (Path Traversal) e CWE-73 (External Control of File Name), um atacante autenticado remoto pode ler arquivos sensíveis do lado do servidor e escrever HTML arbitrário no diretório web.
Ivanti Virtual Traffic Manager (vTM): Uma falha de injeção de comando OS (CWE-78) na interface de admin do Ivanti Virtual Traffic Manager antes da 22.9r4. Um atacante remoto com credenciais de admin pode injetar comandos de nível OS para alcançar execução remota de código completa no appliance.
Ivanti Endpoint Manager (EPM): Um método perigoso exposto (CWE-749) no Ivanti Endpoint Manager Core Server antes da 2024 SU6 permite que um atacante autenticado remoto exfiltre credenciais de acesso do servidor. Uma injeção SQL (CWE-89) no console web do EPM antes da 2024 SU6 permite que qualquer atacante autenticado remoto alcance execução remota de código.
Medidas de mitigação recomendadas
Equipes de segurança executando qualquer um dos quatro produtos afetados devem priorizar o patch imediatamente, mesmo na ausência de exploração ativa. Dada a história da Ivanti como alvo de alto valor para atores de estado-nação e operadores de ransomware, instâncias não corrigidas carregam risco desproporcional.
A Ivanti divulgou que sua equipe de segurança integrou múltiplos modelos de linguagem grandes (LLMs) em seus fluxos de trabalho de Engenharia e Product Security Red Team nos últimos meses. Segundo a empresa, essas ferramentas de IA estão provando ser eficazes na identificação de classes de vulnerabilidade que ferramentas de análise estática e dinâmica tradicionais, SAST e DAST, rotineiramente perdem.
Perguntas frequentes
Existem zero-days explorados? Não, a Ivanti confirmou que nenhuma vulnerabilidade foi explorada em ambiente real.
Qual é a prioridade de correção? Ivanti Endpoint Manager e Secure Access Client devido ao risco de escalonamento de privilégios.
Isso afeta o Brasil? Sim, organizações brasileiras que utilizam esses produtos devem aplicar as correções imediatamente para evitar riscos de segurança e conformidade com a LGPD.