CVE-2025-22270

Nome do Software Vulnerável e Versões Afetadas CyberArk Endpoint Privilege Manager na versão SaaS 24.7.1

Descrição O problema permite que um atacante com acesso ao painel de Administração, especificamente à aba "Role Management", injete código adicionando uma nova função no campo name. No entanto, o risco de exploração deste problema é reduzido devido ao erro adicional necessário que permite contornar a política Content-Security-Policy, o que mitiga a execução de código JS, embora ainda permita injeção de HTML.

Recomendações Para a versão 24.7.1, considere restringir o acesso à aba "Role Management" no painel de Administração para minimizar o risco de exploração. Como solução temporária, evite usar o campo name na aba "Role Management" até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.