Dos vulnerabilidades de severidad media permiten a atacantes autenticados retener acceso no autorizado o capturar datos de sesión de otros usuarios. Versión 2025.4 disponible para on-premise.
Ivanti publicó el 14 de abril un advisory de seguridad que corrige dos vulnerabilidades de severidad media en su plataforma Neurons for ITSM (N-ITSM), la solución de gestión de servicios de TI utilizada por empresas para orquestar incidencias, cambios y activos. Las fallas, identificadas como CVE-2026-4913 y CVE-2026-4914, afectan todas las versiones hasta la 2025.3 inclusive, tanto en despliegues on-premise como en la nube. La compañía confirmó que no tiene evidencia de explotación activa en el momento de la divulgación, pero insta a los clientes con instalaciones propias a actualizar de inmediato.
La primera vulnerabilidad, CVE-2026-4913, tiene un score CVSS de 5.7 y se clasifica bajo CWE-424, correspondiente a fallos en mecanismos de protección. El problema radica en una protección insuficiente de una ruta alternativa dentro del sistema, un atacante remoto autenticado con privilegios bajos puede aprovechar este defecto para mantener acceso a la plataforma incluso después de que un administrador haya deshabilitado su cuenta.
Este tipo de persistencia, conocido informalmente como "zombie access", representa un riesgo considerable en escenarios de gestión de salida de empleados o respuesta a amenazas internas, donde la revocación inmediata de credenciales es un control de seguridad crítico.
La segunda falla, CVE-2026-4914, es una vulnerabilidad de cross-site scripting almacenado (XSS) con CVSS 5.4, clasificada bajo CWE-79. Un atacante autenticado puede inyectar scripts maliciosos que se ejecutan en el contexto de las sesiones de otros usuarios cuando estos acceden al contenido comprometido.
El vector de impacto cruzado (S:C en la notificación CVSS) indica que los efectos pueden extenderse más allá de la sesión inmediata del atacante, permitiendo potencialmente la captura de tokens de sesión, credenciales o datos operativos sensibles gestionados en la plataforma ITSM.
Ivanti detalla en su advisory oficial que los clientes cloud no requieren acción alguna, los entornos alojados fueron parcheados automáticamente el 12 de diciembre de 2025. Sin embargo, las organizaciones con despliegues on-premise deben descargar e instalar manualmente la versión 2025.4 a través del Ivanti License System (ILS). El proceso de actualización requiere acceso al portal de licencias y sigue el procedimiento estándar de upgrade de la plataforma.
El contexto de riesgo es relevante para organizaciones latinoamericanas que mantienen instancias propias de N-ITSM. Las plataformas ITSM concentran información sensible sobre infraestructura, procesos internos y activos tecnológicos, convirtiéndolas en objetivos atractivos para movimiento lateral.
Aunque ambas vulnerabilidades requieren autenticación previa, su combinación podría permitir a un insider malintencionado o a un atacante que haya comprometido credenciales válidas mantener presencia persistente y exfiltrar datos operativos incluso tras ser detectado y deshabilitado.
La recomendación operativa para equipos de TI es verificar la versión instalada de Neurons for ITSM y planificar la actualización a 2025.4 dentro de la próxima ventana de mantenimiento. En entornos donde se hayan deshabilitado cuentas recientemente por razones de seguridad o rotación de personal, conviene auditar los registros de acceso para confirmar que no existan sesiones persistentes activas.
Ivanti no ha publicado indicadores de compromiso específicos, pero el monitoreo de accesos desde cuentas deshabilitadas y la revisión de scripts inyectados en formularios o campos de texto de la plataforma pueden servir como controles detectivos mientras se completa la actualización.
FUENTE ORIGINAL
Ivanti↗CURADO POR
Ricardo Burgos