El proveedor líder de seguridad de identidad emite un boletín de severidad “Alta” (CVSS 8.5) para su agente de Credential Provider (CP). Una falla en la característica ‘TrustedCLIWrapper’ podría exponer contraseñas a procesos no autorizados.
La seguridad de las credenciales “Hard-coded” en scripts y aplicaciones depende totalmente de la confianza en el agente que las entrega. Hoy, 4 de febrero de 2026, CyberArk ha publicado el boletín CA26-07, alertando a los administradores sobre una vulnerabilidad crítica en su producto Credential Providers (CP), específicamente en la versión 14.2 LTS.
El fallo, calificado con una puntuación de 8.5 sobre 10 (Alta), afecta directamente a la promesa central del producto: mantener los secretos seguros. Si utilizas la función de TrustedCLIWrapper para gestionar secretos en scripts de línea de comandos, tu infraestructura podría estar expuesta.
El Fallo: ¿Qué es el TrustedCLIWrapper?
El Credential Provider (CP) es el agente que se instala en servidores para entregar contraseñas a aplicaciones “al vuelo”, eliminando la necesidad de guardarlas en archivos de configuración.
- La Vulnerabilidad: Reside en la característica TrustedCLIWrapper. Esta función permite invocar scripts o ejecutables CLI de forma segura, verificando su integridad antes de entregarles un secreto.
- El Impacto: Debido a este fallo, existe la posibilidad de “Secret Disclosure” (Divulgación de Secretos). Un atacante o un proceso malicioso podría eludir las verificaciones de seguridad del wrapper y engañar al Credential Provider para que revele información sensible (contraseñas de base de datos, claves API, etc.) que no debería ser accesible.
¿A quién afecta? (Y a quién NO)
Es vital hacer un triaje rápido, ya que no todos los clientes de CyberArk están en riesgo.
Estás Afectado SI:
- Tienes instalado Credential Providers (CP) versión 14.2 (o parches anteriores a 14.2.5).
- Y ADEMÁS tienes habilitada y en uso la característica TrustedCLIWrapper.
NO estás Afectado SI:
- Utilizas Central Credential Provider (CCP) (la versión sin agente/Web Service).
- Utilizas Application Server Credential Provider (ASCP).
- Tienes el agente CP instalado, pero NO utilizas la función TrustedCLIWrapper.
Sin Mitigación Temporal: Parcheo Obligatorio
El boletín es tajante en un aspecto: “No hay mitigación temporal disponible”. No existe un cambio de configuración o clave de registro que cierre la brecha. La única forma de eliminar el riesgo es actualizando el binario.
Plan de Acción
- Inventario: Identifique todos los servidores donde se esté ejecutando el agente CP versión 14.2.
- Verificación: Confirme si la implementación utiliza scripts que dependan del TrustedCLIWrapper.
- Actualización: Descargue e instale inmediatamente el parche 14.2.5 desde el portal de soporte de CyberArk.
- Link de descarga: https://www.cyberark.com/CA26-07-14.2.5
- Validación: Tras la actualización, verifique que los scripts CLI siguen obteniendo credenciales correctamente para asegurar la continuidad del negocio.
