CVE-2026-45176
Alvorlig

CVE-2026-45176: Palo Alto Idira Privilege Manager sårbarhed

Fejl i Palo Alto Idira Endpoint Privilege Manager giver lokale angribere mulighed for at opnå fuld systemkontrol.

CVSS Score
7.8
Offentliggjort
11/06/2026
Patch-status
available
Exploit
theoretical
Tidsfrist
Opdatér hurtigst muligt

Hvad er det?

Idira Endpoint Privilege Manager er et sikkerhedsværktøj, der styrer hvilke programmer og handlinger medarbejdere må udføre på deres computer. I versioner ældre end 26.5 er der en fejl i den måde, selve sikkerhedssoftwaren kommunikerer internt og håndterer filer. En angriber, der allerede har adgang til computeren som almindelig bruger, kan udnytte denne fejl til at snyde softwaren og udføre handlinger med administratorrettigheder — altså de højeste rettigheder på systemet. Fejlen kræver ikke særlige tekniske færdigheder at udnytte og sker helt automatisk uden at brugeren skal gøre noget.

Hvem rammer det?

Sårbarheden rammer virksomheder, der bruger Palo Alto Networks Idira Endpoint Privilege Manager Agent i version ældre end 26.5 på enheder med Windows, macOS eller Linux. Det er typisk virksomheder, der aktivt arbejder med at begrænse medarbejdernes rettigheder på arbejdscomputere som en del af deres sikkerhedsstrategi. Hvis din virksomhed bruger dette produkt, bør du undersøge, hvilken version der er installeret på jeres enheder.

Hvad kan ske?

En angriber, der har adgang til en computer som almindelig bruger — fx via et kompromitteret medarbejderlogin — kan eskalere sine rettigheder til fuldstændig systemkontrol (administrator/root). Det betyder, at angriberen kan:

  • Læse, ændre eller slette alle filer på computeren, inkl. fortrolige dokumenter
  • Installere skadelig software eller bagdøre uden hindring
  • Deaktivere sikkerhedssoftware på enheden
  • Bruge computeren som springbræt til at angribe resten af virksomhedens netværk

Hvor alvorligt er det?

Sårbarheden er vurderet til 7,8 ud af 10 (Alvorlig) efter den internationale CVSS-skala. Alle tre kerneaspekter af sikkerhed er fuldt påvirket: fortrolighed, integritet og tilgængelighed. Angrebskompleksiteten er lav, og der kræves kun minimale rettigheder at starte med. Det eneste, der begrænser alvoren en smule, er at angriberen skal have lokal adgang til maskinen — altså være logget ind fysisk eller via fjernadgang. Det er dog en situation, der opstår hyppigt i praksis, fx ved et phishing-angreb der giver adgang til en medarbejderkonto.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed hurtigst muligt:

  1. Find ud af om I er berørt: Kontakt din IT-ansvarlige eller leverandør og få bekræftet, om I bruger Idira Endpoint Privilege Manager Agent, og hvilken version der er installeret.
  2. Opdatér til version 26.5.0 eller nyere: Palo Alto Networks har udsendt en opdatering, der lukker sårbarheden. Prioritér at få denne installeret på alle berørte enheder.
  3. Gennemgå brugerkonti med adgang til berørte maskiner: Tjek om der er konti med unødvendige rettigheder, og deaktivér konti, der ikke er i brug.
  4. Overvåg for mistænkelig aktivitet: Bed din IT-afdeling om at tjekke logfiler for usædvanlige forsøg på rettighedseskalering (at skifte fra almindelig bruger til administrator).
  5. Læs CyberArks sikkerhedsbulletin CA26-19: Her finder du leverandørens officielle vejledning og yderligere tekniske detaljer.
Tidsfrist

Opdatér hurtigst muligt

Sådan ser Auroa det

Vi anbefaler, at du prioriterer opdateringen til version 26.5.0 og får den rullet ud på alle enheder med softwaren installeret inden for de næste dage. Sårbarheden er særlig farlig, fordi den rammer selve det sikkerhedsværktøj, der er sat til at beskytte jeres computere — en angriber der udnytter den, kan effektivt neutralisere jeres forsvarslinje. Har du brug for hjælp til at kortlægge omfanget eller gennemføre opdateringen, er du velkommen til at kontakte os.

Tidslinje

11/06/2026
CVE offentliggjort
National Vulnerability Database (NVD) offentliggør CVE-2026-45176. Palo Alto Networks udgiver samtidig sikkerhedsbulletin CA26-19 med beskrivelse af sårbarheden og anbefalet opdatering.
11/06/2026
Patch tilgængelig
Palo Alto Networks frigiver Idira Endpoint Privilege Manager Agent version 26.5.0, som lukker sårbarheden. Opdateringen er tilgængelig via leverandørens sædvanlige distributionskanaler.
11/06/2026
Ingen kendte aktive angreb
På tidspunktet for offentliggørelsen er der ikke rapporteret om aktiv udnyttelse af sårbarheden i fri vildtbane. Det anbefales dog at opdatere hurtigt, da lav angrebskompleksitet øger risikoen for fremtidige forsøg.

Konkrete eksempler

Phishet medarbejder åbner døren

En medarbejder modtager en phishing-mail og afgiver sine loginoplysninger til en angriber. Angriberen logger ind på medarbejderens computer med de almindelige brugerrettigheder. Ved hjælp af CVE-2026-45176 manipulerer angriberen Idira-agentens interne kommunikation og opnår fuld administratoradgang. Herfra installerer angriberen ransomware, der krypterer alle filer på computeren og spreder sig til netværksdrev.

Misfornøjet medarbejder eskalerer rettigheder

En medarbejder, der er ved at forlade virksomheden, ønsker at kopiere fortrolige kundedatabaser. Vedkommende har kun adgang til egne filer, men udnytter sårbarheden fra sin egen computerkonto til at opnå systemadministratorrettigheder. Med disse rettigheder tilgår medarbejderen databaser og dokumenter, som ellers er utilgængelige, og eksporterer data inden afgang.

Skadelig kode omgår sikkerhedssoftware

En angriber får via en sårbarhed i en webbrowser afviklet skadelig kode på en medarbejders computer med begrænsede rettigheder. Koden udnytter CVE-2026-45176 til at eskalere til administratorniveau og deaktiverer derefter både Idira-agenten og antivirussoftwaren. Angriberen etablerer en permanent bagdør og kan fremover tilgå systemet uden at blive opdaget.

Ofte stillede spørgsmål

Ramte produkter

Paloaltonetworks — Idira Endpoint Privilege Manager

< 26.5.0

Apple — Macos

Linux — Linux Kernel

Microsoft — Windows

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-269
NVD-CWE-Other

Original NVD-beskrivelse (engelsk)

Idira Endpoint Privilege Manager Agent versions prior to 26.5 exhibit improper access control within high-privileged agent components. A local, low-privileged attacker could exploit this by manipulating an internal communication mechanism or file operation. Under specific circumstances, this could potentially allow the attacker to bypass permission restrictions and execute unauthorized local actions with elevated privileges. CyberArk Security Bulletin: CA26-19

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-45176
Offentliggjort
11/06/2026
Sidst opdateret
22/06/2026
Exploit-status
theoretical
Patch-status
available
Tidsfrist
Opdatér hurtigst muligt

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.