Multiple Ivanti products, including Secure Access Client, Virtual Traffic Manager (vTM), Endpoint Manager (EPM), and Xtraction, contain vulnerabilities enabling remote code execution, privilege escalation, and data breaches. For example, CVE-2026-7432 in Secure Access Client (CVSS 7.8 HIGH) affects versions up to and including 22.7, while CVE-2026-8051 in vTM scores CVSS 7.2 (HIGH). Patches are available; administrators must consult the specific Ivanti security advisories linked in the CERT-FR bulletin for the exact fixed versions (e.g., Secure Access Client 22.8R6, vTM 22.9r4) and apply them immediately.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 13 mai 2026 N° CERTFR-2026-AVI-0576 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans les produits Ivanti Gestion du document Référence CERTFR-2026-AVI-0576 Titre Multiples vulnérabilités dans les produits Ivanti Date de la première version 13 mai 2026 Date de la dernière version 13 mai 2026 Source(s) Bulletin de sécurité Ivanti May-2026-Security-Advisory-Ivanti-Secure-Access-Client-CVE-2026-7431-CVE-2026-7432 du 12 mai 2026 Bulletin de sécurité Ivanti May-2026-Security-Advisory-Ivanti-Virtual-Traffic-Manager-vTM-CVE-2026-8051 du 12 mai 2026 Bulletin de sécurité Ivanti may-2026-security-update du 12 mai 2026 Bulletin de sécurité Ivanti Security-Advisory---Ivanti-Xtraction-CVE-2026-8043 du 12 mai 2026 Bulletin de sécurité Ivanti Security-Advisory-Ivanti-Endpoint-Manager-EPM-May-2026 du 12 mai 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à l'intégrité des données Atteinte à la confidentialité des données Contournement de la politique de sécurité Exécution de code arbitraire à distance Injection SQL (SQLi) Élévation de privilèges Systèmes affectés Endpoint Manager (EPM) versions antérieures à 2024 SU6 Secure Access Client versions antérieures à 22.8R6 Virtual Traffic Manager (vTM) versions antérieures à 22.9r4 Xtraction versions antérieures à 2026.2 Résumé De multiples vulnérabilités ont été découvertes dans les produits Ivanti. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et une atteinte à la confidentialité des données. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Ivanti May-2026-Security-Advisory-Ivanti-Secure-Access-Client-CVE-2026-7431-CVE-2026-7432 du 12 mai 2026 https://forums.ivanti.com/s/article/May-2026-Security-Advisory-Ivanti-Secure-Access-Client-CVE-2026-7431-CVE-2026-7432 Bulletin de sécurité Ivanti May-2026-Security-Advisory-Ivanti-Virtual-Traffic-Manager-vTM-CVE-2026-8051 du 12 mai 2026 https://forums.ivanti.com/s/article/May-2026-Security-Advisory-Ivanti-Virtual-Traffic-Manager-vTM-CVE-2026-8051 Bulletin de sécurité Ivanti may-2026-security-update du 12 mai 2026 https://www.ivanti.com/blog/may-2026-security-update Bulletin de sécurité Ivanti Security-Advisory---Ivanti-Xtraction-CVE-2026-8043 du 12 mai 2026 https://forums.ivanti.com/s/article/Security-Advisory---Ivanti-Xtraction-CVE-2026-8043 Bulletin de sécurité Ivanti Security-Advisory-Ivanti-Endpoint-Manager-EPM-May-2026 du 12 mai 2026 https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-EPM-May-2026 Référence CVE CVE-2026-7431 https://www.cve.org/CVERecord?id=CVE-2026-7431 Référence CVE CVE-2026-7432 https://www.cve.org/CVERecord?id=CVE-2026-7432 Référence CVE CVE-2026-8043 https://www.cve.org/CVERecord?id=CVE-2026-8043 Référence CVE CVE-2026-8051 https://www.cve.org/CVERecord?id=CVE-2026-8051 Gestion détaillée du document le 13 mai 2026 Version initiale