Vulnerabilidad en CyberArk Endpoint Privilege Manager (CVE-2025-22272)
Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
28/02/2025
Última modificación:
05/03/2025
Descripción
En el endpoint "/EPMUI/ModalDlgHandler.ashx?value=showReadonlyDlg", es posible inyectar código en el parámetro "modalDlgMsgInternal" mediante POST, que luego se ejecuta en el navegador. El riesgo de explotar la vulnerabilidad se reduce debido a la omisión adicional requerida de la política Content-Security-Policy. Este problema afecta a CyberArk Endpoint Privilege Manager en la versión SaaS 24.7.1. Se desconoce el estado de otras versiones. Después de varios intentos de comunicarnos con el proveedor, no recibimos ninguna respuesta.
Impacto
Puntuación base 4.0
2.10
Gravedad 4.0
BAJA