Vulnerabilidades en el software Cyberark Endpoint Privilege Manager

On February 28, 2025, a series of vulnerabilities in the Cyberark Endpoint Privilege Manager (version 24.7.1) were disclosed by CERT Polska, following reports of security weaknesses in the software. This product from the provider Cibangark has multiple vulnerabilities identified as CVEs (Common Vulnerabilities and Exposures), which pose potential security risks to users.

CVE-2025-22270 highlights a cross-site scripting (XSS) vulnerability where an attacker with access to the administrative panel, particularly in the Role Management tab, can inject malicious code through the name field while creating a new role. Although an opportunity for exploitation exists, the risk is lessened by an additional error that facilitates bypassing the Content Security Policy, which is intended to prevent JavaScript execution while permitting HTML injection.

CVE-2025-22271 deals with an authentication bypass issue, where the application allows the falsification of IP addresses by permitting users to provide custom values in the X-Forwarded-For header. This exploit undermines the application’s action logging mechanism, as it loses accountability due to the manipulated IP address.

For CVE-2025-22272, another XSS vulnerability exists within the modal dialog handler endpoint, where an attacker can inject code into the paramater "modalDlgMsgInternal" using a POST request. This injected code may execute in the user’s browser, creating a security hazard. Similar to the previous vulnerabilities, the risk of this being exploited is reduced by an existing Content Security Policy.

CVE-2025-22273 describes a limitation in resource allocation, specifying that the application does not impose restrictions on the number or frequency of user interactions. An attacker could exploit this by initiating multiple incoming requests to the endpoint responsible for changing passwords, potentially leveraging it for a brute-force attack to guess the current password in use.

Lastly, CVE-2025-22274 presents a critical risk where an attacker could inject HTML code into the page content by manipulating the content field on the application definition page. This also falls under a basic XSS issue, allowing further unwanted actions that could compromise user data or application integrity.

All these vulnerabilities have been identified in the Endpoint Privilege Manager’s SaaS version 24.7.1, and there is currently no information regarding the status of other versions. Despite attempts to reach Cibangark for clarification or updates on these vulnerabilities, no responses have been received.

The responsible vulnerability report has been credited to Karol Mazurek and Maksymilian Kubiak from the Afine team, recognizing their contribution to the responsible disclosure process. More information on coordinated vulnerability disclosure can be accessed through CERT Polska’s official website.

In summary, the reported vulnerabilities in Cibangark’s Endpoint Privilege Manager could expose systems to serious security risks, including XSS exploits, authentication bypasses, and inefficient resource management. Users are advised to stay informed and apply necessary patches or updates as they become available.

Enlace de la fuente, haz clic para tener más información

Artículos y alertas de seguridad

Consultar más contenidos y alertas

Alertas y noticias de seguridad de la información

Threat Brief: CVE-2025-31324

Executive Summary On April 24, 2025, SAP announced a severe vulnerability, designated CVE-2025-31324, with a CVSS score of 10.0, impacting the Visual Composer Framework in

...
Más detalle de la noticia

Q1 2025 en el ciberespacio letón

Resumen del Informe sobre Amenazas Cibernéticas en Letonia (Q1 2025) En los tres primeros meses de 2025, el panorama de amenazas cibernéticas evoluciona de manera

...
Más detalle de la noticia

El paquete NPM de la herramienta de raspado popular comprometido en el ataque de la cadena de suministro

Resumen sobre el Paquete Node.js Rand-User-Agent Rand-User-Agent es un paquete de Node.js que genera cadenas aleatorizadas de agentes de usuario, desarrollado inicialmente para la faceta

...
Más detalle de la noticia

Vulnerabilidades múltiples en productos Cisco

Cisco ha identificado varias vulnerabilidades en sus productos que representan serios riesgos de seguridad. Entre estas vulnerabilidades, algunas permiten a un atacante ejecutar código de

...
Más detalle de la noticia

Aviso de seguridad de Google Chrome (AV25-257)

Resumen de Aviso de Seguridad de Google para Chrome (9 de mayo de 2025) El 6 de mayo de 2025, Google emitió un importante aviso

...
Más detalle de la noticia

Código de práctica de seguridad de software: principios y reclamos de garantía (APC)

El contenido se enfoca en la importancia de que los proveedores evalúen su cumplimiento con un código de práctica de seguridad del software. A continuación,

...
Más detalle de la noticia

Carta semanal de CERT-SE V.19-CERT-SE

Resumen Semanal de Ciberseguridad – 9 de mayo de 2025 Introducción de Nueva Funcionalidad en el Servicio de Hormigas A partir de la próxima semana,

...
Más detalle de la noticia

La identificación de nuestros servicios electrónicos está cambiando, habilitando los mensajes suomi.fi sugeridos durante la identificación

La agencia de transporte y comunicaciones de Finlandia, conocida como Traficom, juega un papel crucial en la garantía de un sistema de transporte y comunicaciones

...
Más detalle de la noticia

Vulnerabilidad de negación de servicio de Microsoft Edge

Se ha detectado una vulnerabilidad crítica en Microsoft Edge, que podría ser explotada por un atacante remoto para causar una condición de denegación de servicio

...
Más detalle de la noticia

ALERTA DE SEGURIDAD (A25-05-06): múltiples vulnerabilidades en productos Cisco

Cisco ha emitido avisos de seguridad que abordan varias vulnerabilidades críticas en una variedad de dispositivos y software. Los administradores de sistemas deben consultar los

...
Más detalle de la noticia

ElasticeSearch Kibana Arbitrary Code Execution Vulnerabilidad (CVE-2025-25014)-Qualys amenazas Protect

Kibana ha emitido un aviso de seguridad para abordar una vulnerabilidad crítica identificada como CVE-2025-25014. Esta vulnerabilidad está relacionada con la contaminación de prototipos, lo

...
Más detalle de la noticia

Los países comienzan el ejercicio de defensa cibernética de escudos cerrados de la OTAN

Los países están enfrentando amenazas cibernéticas cada vez más sofisticadas que demandan estrategias en evolución para mitigar esos riesgos. La cooperación internacional es vital en

...
Más detalle de la noticia

Mitsubishi Electric CC-Link, es decir, TSN

Resumen sobre la Vulnerabilidad de Mitsubishi Electric 1. Resumen Ejecutivo La vulnerabilidad identificada en productos de Mitsubishi Electric ha sido catalogada con un puntaje CVSS

...
Más detalle de la noticia

Nueva característica en hormigas: notificación sobre dispositivos comprometidos

Resumen sobre la activación de nuevas notificaciones en hormigas por CERT-SE Fecha de Publicación: 8 de mayo de 2025 Durante la semana 20, CERT-SE (el

...
Más detalle de la noticia

Webinar: procedimientos básicos para emitir certificados

Seminario Web sobre Procedimientos Básicos de Problemas de Certificado Lo invitamos cordialmente al seminario web titulado "Procedimientos básicos de problemas de certificado", que se llevará

...
Más detalle de la noticia
Contacta

Contacta con nosotros para obtener soluciones integrales en IT y seguridad de la información

Estamos encantados de responder cualquier pregunta que puedas tener, y ayudarte a determinar cuáles de nuestros servicios se adaptan mejor a tus necesidades.

Llámanos: Pulsa aquí
Nuestros beneficios:
  • Orientación a cliente
  • Independencia de proveedores
  • Competencias contrastadas y certificadas
  • Orientación a resultados (KPIs)
  • Resolución de problemas
  • Transparencia
¿Qué sucede a continuación?
1

Programamos una llamada según tu conveniencia.

2

Realizamos una reunión de descubrimiento y consultoría.

3

Preparamos una propuesta.

Agenda una consulta gratuita