Enterprise Password Vault: CyberArk fixt Web-Acess-Komponente
CyberArks Webanwendung für den Zugriff auf seinen Passwort-Manager für Unternehmen gibt es jetzt in neuen Versionen. Um sich vor Remote-Code-Execution-Angriffen zu schützen, sollten Nutzer zügig umsteigen.
(Bild: CyberArk)
In der Web-Access-Komponente von Enterprise Password Vault, einer Software zum Sichern und Rotieren privilegierter Nutzer-Accounts in Unternehmen, steckt eine Sicherheitslücke. Laut einer Beschreibung der RedTeam Pentesting GmbH, die auch einen detaillierten Proof-of-Concept umfasst, kann sie von Angreifern zur Codeausführung auf dem Webserver aus der Ferne missbraucht werden. Die Lücke trägt die Bezeichnung CVE-2018-9843 und birgt ein hohes Sicherheitsrisiko.
Betroffen sind alle Versionen unter 9.9.5 beziehungweise unter 9.10 sowie die Version 10.1. Der Hersteller CyberArk hat die Lücke in den Versionen 9.9.5, 9.10.1 und 10.2 der Web-Access-Komponente geschlossen. Ein zeitnaher Wechsel ist ratsam.
(ovw)
