Informazioni sul CVE-2025-22273
Lack of rate-limiting in password change mechanism in CyberArk Endpoint Privilege Manager
CWE ID: CWE-770
Base Score (CVSS): 9.3
CVE: CVE-2025-22273
Descrizione: L’applicazione non limita il numero o la frequenza delle interazioni dell’utente, come il numero di richieste in arrivo. Sul punto di accesso “/EPMUI/VfManager.asmx/ChangePassword” è possibile eseguire un attacco di forza bruta contro la password corrente. Questo problema influisce CyberArk Endpoint Privilege Manager nella versione 24.7.1. Lo stato di altre versioni è sconosciuto. Dopo diversi tentativi di contatto con il fornitore non abbiamo ricevuto risposta.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://cert.pl/en/posts/2025/02/CVE-2025-22270/
- https://cert.pl/posts/2025/02/CVE-2025-22270/
- https://docs.cyberark.com/epm/24.7.1/en/content/resources/_topnav/cc_home.htm
Prodotti interessati
- CyberArk – Endpoint Privilege Manager
Relazioni con altri prodotti
Produttore:CyberArk
Prodotto: Endpoint Privilege Manager
Anno: 2025
CWE: CWE-770
CVSS: 9.3