CVE ID | CVE-2025-22270 |
Data publikacji | 28 lutego 2025 |
Producent podatnego oprogramowania | CyberArk |
Nazwa podatnego oprogramowania | Endpoint Privilege Manager |
Podatne wersje | 24.7.1 |
Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
CVE ID | CVE-2025-22271 |
Data publikacji | 28 lutego 2025 |
Producent podatnego oprogramowania | CyberArk |
Nazwa podatnego oprogramowania | Endpoint Privilege Manager |
Podatne wersje | 24.7.1 |
Typ podatności (CWE) | Authentication Bypass by Spoofing (CWE-290) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
CVE ID | CVE-2025-22272 |
Data publikacji | 28 lutego 2025 |
Producent podatnego oprogramowania | CyberArk |
Nazwa podatnego oprogramowania | Endpoint Privilege Manager |
Podatne wersje | 24.7.1 |
Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
CVE ID | CVE-2025-22273 |
Data publikacji | 28 lutego 2025 |
Producent podatnego oprogramowania | CyberArk |
Nazwa podatnego oprogramowania | Endpoint Privilege Manager |
Podatne wersje | 24.7.1 |
Typ podatności (CWE) | Allocation of Resources Without Limits or Throttling (CWE-770) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
CVE ID | CVE-2025-22274 |
Data publikacji | 28 lutego 2025 |
Producent podatnego oprogramowania | CyberArk |
Nazwa podatnego oprogramowania | Endpoint Privilege Manager |
Podatne wersje | 24.7.1 |
Typ podatności (CWE) | Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) (CWE-80) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu CyberArk Endpoint Privilege Manager i koordynował proces ujawniania informacji.
Podatność CVE-2025-22270 umożliwia atakującemu z dostępem do panelu administracyjnego, a konkretnie zakładki Role Management
, wstrzyknięcie kodu poprzez dodanie nowej roli w polu name
. Ryzyko wykorzystania podatności jest zmniejszone ze względu na wymagane ominięcie Content-Security-Policy, co ogranicza wykonywanie kodu JS, jednocześnie umożliwiając wstrzyknięcie kodu HTML.
Podatność CVE-2025-22271 pozwala na spoofing adresów IP poprzez podanie własnej wartości w nagłówku X-Forwarded-For
. W ten sposób mechanizm rejestrowania akcji w aplikacji traci rozliczalność.
Podatność CVE-2025-22272 umożliwia w endpoincie /EPMUI/ModalDlgHandler.ashx?value=showReadonlyDlg
za pomocą parametru modalDlgMsgInternal
poprzez metodę POST wstrzyknięcie kodu, który jest następnie wykonywany w przeglądarce. Ryzyko wykorzystania podatności jest zmniejszone ze względu na wymagane ominięcie Content-Security-Policy.
Podatność CVE-2025-22273 umożliwia w endpoince /EPMUI/VfManager.asmx/ChangePassword
przeprowadzenie ataku brute force na aktualnie używane przez użytkownika hasło. Aplikacja nie ogranicza liczby ani częstotliwości interakcji użytkowników, takich jak liczba przychodzących żądań.
Podatność CVE-2025-22274 umożliwia wstrzyknięcie kodu HTML do treści strony za pomocą pola content
na stronie Application definition
.
Powyższe podatności dotyczą CyberArk Endpoint Privilege Manager w wersji SaaS 24.7.1. Status innych wersji jest nieznany. Po wielokrotnych próbach skontaktowania się z producentem oprogramowania nie otrzymaliśmy żadnej odpowiedzi.
Podziękowania
Za zgłoszenie podatności dziękujemy Karolowi Mazurkowi oraz Maksymilianowi Kubiakowi z zespołu Afine.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.