Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu CyberArk Endpoint Privilege Manager i koordynował proces ujawniania informacji.

Podatność CVE-2025-22270 umożliwia atakującemu z dostępem do panelu administracyjnego, a konkretnie zakładki Role Management, wstrzyknięcie kodu poprzez dodanie nowej roli w polu name. Ryzyko wykorzystania podatności jest zmniejszone ze względu na wymagane ominięcie Content-Security-Policy, co ogranicza wykonywanie kodu JS, jednocześnie umożliwiając wstrzyknięcie kodu HTML.

Podatność CVE-2025-22271 pozwala na spoofing adresów IP poprzez podanie własnej wartości w nagłówku X-Forwarded-For. W ten sposób mechanizm rejestrowania akcji w aplikacji traci rozliczalność.

Podatność CVE-2025-22272 umożliwia w endpoincie /EPMUI/ModalDlgHandler.ashx?value=showReadonlyDlg za pomocą parametru modalDlgMsgInternal poprzez metodę POST wstrzyknięcie kodu, który jest następnie wykonywany w przeglądarce. Ryzyko wykorzystania podatności jest zmniejszone ze względu na wymagane ominięcie Content-Security-Policy.

Podatność CVE-2025-22273 umożliwia w endpoince /EPMUI/VfManager.asmx/ChangePassword przeprowadzenie ataku brute force na aktualnie używane przez użytkownika hasło. Aplikacja nie ogranicza liczby ani częstotliwości interakcji użytkowników, takich jak liczba przychodzących żądań.

Podatność CVE-2025-22274 umożliwia wstrzyknięcie kodu HTML do treści strony za pomocą pola content na stronie Application definition.

Powyższe podatności dotyczą CyberArk Endpoint Privilege Manager w wersji SaaS 24.7.1. Status innych wersji jest nieznany. Po wielokrotnych próbach skontaktowania się z producentem oprogramowania nie otrzymaliśmy żadnej odpowiedzi.

Podziękowania

Za zgłoszenie podatności dziękujemy Karolowi Mazurkowi oraz Maksymilianowi Kubiakowi z zespołu Afine.