Une vulnérabilité critique a été identifiée et corrigée dans l'application Web de CyberArk Enterprise Password Vault

CyberArk Enterprise Password Vault est conçu pour gérer et contrôler l'accès aux identifiants des comptes privilégiés en fonction des stratégies et politiques de l'entreprise. L'application CyberArk Password Vault Web Access utilise des objets .NET sérialisés comme jetons d'authentification. En créant des jetons spécialement conçus, des attaquants pourraient exécuter du code sur le serveur web.

Informations
+

Impact

  • Exécution de code arbitraire.

Criticité

  • CVSS v3 : 9.8

Existence d’un code d’exploitation de la vulnérabilité

Composants & versions vulnérables

  • CyberArk Password Vault Web Access versions antérieures à 9.10 et version 10.1.

CVE

  • CVE-2018-9843

Recommandations
+

Correctifs

  • La vulnérabilité est corrigée à partir des versions 9.9.5, 9.10 et 10.2.

Solution de contournement

  • Désactiver tout accès à l'API sur le chemin /PasswordVault/WebServices.