Informazioni sul CVE-2025-22270
Stored XSS in CyberArk Endpoint Privilege Manager
CWE ID: CWE-79
Base Score (CVSS): 7.3
CVE: CVE-2025-22270
Descrizione: Un attaccante con accesso alla scheda “Gestione Ruoli” dell’amministrazione, in particolare la “Tab di Gestione Ruoli”, può inviare codice aggiungendo un nuovo ruolo nel campo “nome”. Tuttavia, tuttavia, il rischio di sfruttare una vulnerabilità è ridotto grazie al requisito di un errore aggiuntivo che permette di aggirare la Policy di Sicurezza del Contenuto (CSP), mitigando l’esecuzione di codice JavaScript mentre consente l’iniezione di codice HTML. Questo problema riguarda CyberArk Endpoint Privilege Manager nella versione 24.7.1. Lo stato di altre versioni è sconosciuto. Dopo diversi tentativi di contattare il fornitore non abbiamo ricevuto alcuna risposta.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://cert.pl/en/posts/2025/02/CVE-2025-22270/
- https://cert.pl/posts/2025/02/CVE-2025-22270/
- https://docs.cyberark.com/epm/24.7.1/en/content/resources/_topnav/cc_home.htm
Prodotti interessati
- CyberArk – Endpoint Privilege Manager
Relazioni con altri prodotti
Produttore:CyberArk
Prodotto: Endpoint Privilege Manager
Anno: 2025
CWE: CWE-79
CVSS: 7.3