**Ivanti** ha emitido una advertencia crítica a sus clientes, aconsejándoles parchear una vulnerabilidad de ejecución remota de código (RCE) de alta severidad, **CVE-2026-6973**, que afecta a **Endpoint Manager Mobile (EPMM)**. Esta falla está siendo explotada actualmente en ataques zero-day. ### Detalles Técnicos de CVE-2026-6973 La vulnerabilidad se origina en una debilidad de Validación Incorrecta de Entrada (Improper Input Validation), que permite a atacantes remotos con privilegios administrativos ejecutar código arbitrario en sistemas que ejecutan **EPMM** versión 12.8.0.0 y anteriores. Esto resalta la necesidad crítica de un parcheo rápido para mitigar la explotación potencial. ### Pasos de Mitigación **Ivanti** aconseja a los clientes instalar las siguientes versiones parcheadas de **Ivanti EPMM**: 12.6.1.1, 12.7.0.1 y 12.8.0.1. Adicionalmente, la compañía recomienda una revisión exhaustiva de todas las cuentas con derechos administrativos y una rotación de credenciales donde sea necesario. Este enfoque proactivo puede reducir significativamente el riesgo de explotación. > "En el momento de la divulgación, somos conscientes de una explotación muy limitada de **CVE-2026-6973**, que requiere autenticación de administrador para una explotación exitosa. No somos conscientes de que ningún cliente esté siendo explotado por las otras vulnerabilidades divulgadas hoy", dijo la compañía. Es importante tener en cuenta que la vulnerabilidad solo afecta al producto **EPMM** on-premise y no está presente en **Ivanti Neurons for MDM**, **Ivanti EPM**, **Ivanti Sentry** u otros productos de **Ivanti**. ### Exposición y Monitoreo **Shadowserver** está rastreando actualmente más de 850 direcciones IP con huellas de **Ivanti EPMM** expuestas en línea, con una porción significativa ubicada en Europa (508) y América del Norte (182). Si bien estos datos brindan información sobre la exposición potencial, el número de sistemas ya parcheados contra **CVE-2026-6973** sigue siendo desconocido.  *IPs de Ivanti EPMM expuestas en línea (Shadowserver)* ### Vulnerabilidades Adicionales Parcheadas Además de **CVE-2026-6973**, **Ivanti** también ha lanzado parches para otras cuatro vulnerabilidades de alta severidad en **EPMM**: **CVE-2026-5786**, **CVE-2026-5787**, **CVE-2026-5788** y **CVE-2026-7821**. Estas vulnerabilidades podrían permitir a los atacantes obtener acceso de administrador, suplantar hosts Sentry registrados, invocar métodos arbitrarios y acceder a información restringida. **Ivanti** declaró que no hay evidencia de que estas fallas estén siendo explotadas en la naturaleza. **CVE-2026-7821** solo afecta a los usuarios que utilizan y han configurado **Apple Device Enrollment**. ### Historial Reciente de Vulnerabilidades en Ivanti EPMM En enero, **Ivanti** divulgó dos vulnerabilidades críticas de inyección de código en **EPMM**, **CVE-2026-1281** y **CVE-2026-1340**, que fueron explotadas en ataques zero-day afectando a un número limitado de clientes. > "Si los clientes siguieron la recomendación de **Ivanti** en enero de rotar credenciales si fueron explotados con **CVE-2026-1281** y **CVE-2026-1340**, entonces su riesgo de explotación por **CVE-2026-6973** se reduce significativamente", agregó la compañía. ### Participación de CISA En abril, la **Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA)** instruyó a las agencias del gobierno de EE. UU. a asegurar sus sistemas contra ataques de **CVE-2026-1340** en un plazo de cuatro días, subrayando la gravedad de estas vulnerabilidades. Múltiples zero-days de **Ivanti EPMM** han sido explotados en los últimos años, lo que ha llevado a brechas en varios objetivos, incluidas agencias gubernamentales en todo el mundo. Hasta la fecha, **CISA** ha marcado 33 vulnerabilidades de **Ivanti** como explotadas en la naturaleza, y 12 de ellas han sido abusadas por operaciones de ransomware. **Ivanti** proporciona productos de gestión de activos de TI a más de 40,000 clientes a nivel mundial a través de una red de más de 7,000 socios. [El 99% de lo que Mythos encontró sigue sin parchear.](https://hubs.li/Q04crVgD0) La IA encadenó cuatro zero-days en un solo exploit que eludió los sandboxes tanto del renderizador como del sistema operativo. Se avecina una ola de nuevos exploits. En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, prueba que los controles se mantienen y cierra el ciclo de remediación. [Reclama Tu Lugar](https://hubs.li/Q04crVgD0)