Агентство з кібербезпеки та інфраструктури США додало нову критичну вразливість у системі Ivanti Endpoint Manager Mobile до свого переліку відомих експлуатованих вад. Проблема ідентифікована як CVE-2026-1340, вона пов’язана з можливістю ін’єкції коду. Це дозволяє зловмисникам виконувати довільні команди на віддаленому пристрої без потреби в авторизації (введенні логіна та пароля). Помилка отримала найвищий рейтинг небезпеки за шкалою CVSS — 9.8 із 10, що класифікує її як критичну загрозу для корпоративних мереж, де використовуються мобільні пристрої.

Хронологія подій вказує на те, що експлуатація вразливості почалася невдовзі після оприлюднення концептуального коду атаки у мережі. Фахівці зафіксували випадки використання цієї прогалини для проникнення в інфраструктури організацій, що змусило державний регулятор встановити жорсткий дедлайн для усунення недоліку — 11 квітня. Технічно атака реалізується через надсилання спеціально сформованих запитів до сервера керування мобільними пристроями, що відкриває шлях до повного контролю над системою. Наразі підтверджено обмежену кількість постраждалих клієнтів, проте інтенсивність спроб сканування мереж на наявність CVE-2026-1340 продовжує зростати.