Una falla de alta severidad en el sistema de gestión de puntos finales de Ivanti, identificada como CVE-2026-1603, ha sido añadida al catálogo de vulnerabilidades activamente explotadas por la Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA), mientras instan a aplicar parches urgentes para mitigar el riesgo.
La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos -CISA- recientemente incluyó la vulnerabilidad CVE-2026-1603 de Ivanti Endpoint Manager (EPM) en su catálogo Known Exploited Vulnerabilities (KEV) el pasado lunes 9 de marzo, tras determinar que está siendo explotada en ataques reales, según avisos publicados por la propia agencia y de acuerdo con otros reportes de seguridad.
El fallo, clasificado con un alto nivel de severidad, permite a un atacante remoto sin necesidad de autenticarse eludir los mecanismos de validación de sesión y generar un desbordamiento en credenciales almacenadas, lo que podría resultar en el acceso a datos confidenciales de cuentas de administración y facilitar movimientos laterales en redes empresarial o gubernamentales.
Las versiones de Ivanti Endpoint Manager anteriores a la 2024 SU5 son las afectadas por este error. La compañía publicó una actualización de seguridad en febrero de 2026 que corrige la vulnerabilidad como parte de Endpoint Manager 2024 SU5, pero en el momento de ese lanzamiento la empresa afirmó que no tenía constancia de explotación activa en entornos reales. CISA, tras incorporar el CVE-2026-1603 a su catálogo KEV, trata ahora la situación como evidencia de uso en ataques.
El impacto de CVE-2026-1603 se centra en un bypass de autenticación que permite a un ciberdelincuente obtener datos de credenciales almacenadas sin credenciales válidas, aprovechando una concatenación de encabezados malformados en el componente de autenticación de EPM. Este acceso no autorizado puede comprometer la integridad de los sistemas administrados por la plataforma y proporcionar una entrada inicial para campañas de mayor alcance.
Ivanti, en su boletín de febrero de 2026, señaló que no había recibido informes de clientes afectados por la vulnerabilidad antes de su divulgación pública y destacó que la información detallada sobre explotación activa no estaba disponible en ese momento. La empresa orienta a los administradores de sistemas a instalar la versión 2024 SU5 o posteriores que contienen los parches tanto para CVE-2026-1603 como para una vulnerabilidad de inyección SQL relacionada, CVE-2026-1602, que también fue corregida en la misma actualización.
Especialistas en ciberseguridad recomiendan a las organizaciones verificar si sus instancias de Endpoint Manager están expuestas a redes públicas o poseen acceso remoto sin las protecciones adecuadas, y priorizar la instalación de los parches en entornos de producción, ya que un sistema sin actualizar puede ofrecer un vector de entrada fácil para ataques automatizados o dirigidos.