CyberArk emitió dos boletines de seguridad de alta severidad dirigidos a organizaciones que utilizan EPM SaaS Windows Agents, alertando sobre riesgos de elevación de privilegios en versiones anteriores a la 25.10. Ambos boletines —CA25-36 y CA25-37— fueron publicados el 19 de noviembre de 2025, con un CVSS de 8.5, y requieren actualización inmediata debido a la ausencia de mitigaciones temporales.
1. CA25-37: riesgo en Offline Policy Authorization Generator (OPAG)
El boletín CA25-37 detalla una vulnerabilidad que permite una potencial elevación de privilegios vinculada al uso del módulo Offline Policy Authorization Generator (OPAG).
Impacto
Escalamiento potencial cuando OPAG se encuentra habilitado en los endpoints.
Afecta exclusivamente a EPM SaaS Windows Agents anteriores a la versión 25.10.
Estado de explotación
CyberArk señala que no existe evidencia de explotación activa dentro de entornos de sus clientes.
Solución
Actualizar inmediatamente los agentes siguiendo las instrucciones oficiales de instalación/upgrade.
No se encuentran disponibles medidas de mitigación temporales.
2. CA25-36: elevación de privilegios vía manipulación de registro
El boletín CA25-36 describe otra vulnerabilidad de alta severidad, también con CVSS 8.5, relacionada con la manipulación del registro de Windows en entornos donde el EPM control panel está habilitado.
Impacto
Riesgo de elevación de privilegios mediante cambios no autorizados en el registro.
Afecta todas las versiones anteriores a 25.10 de EPM SaaS Windows Agents con el panel de control activado.
Estado de explotación
Sin evidencia de explotación confirmada en entornos de CyberArk.
Solución
Actualizar agentes a la versión más reciente.
Tampoco existen mitigaciones temporales disponibles.
3. Productos afectados y alcance
Ambos boletines aplican únicamente a:
CyberArk EPM SaaS Windows Agents
Versiones previas a la 25.10
Configuraciones que:
Utilizan OPAG (CA25-37)
Tienen habilitado el EPM control panel (CA25-36)
CyberArk aclara que si otras soluciones también resultan afectadas, se publicarán boletines separados conforme a su política de gestión de vulnerabilidades.
4. Recomendaciones para organizaciones
Actualizar inmediatamente
La única acción efectiva es instalar la versión más reciente del agente EPM siguiendo la guía oficial de actualización.
Revisar configuraciones de sets
Verificar si OPAG está implementado.
Validar si el EPM control panel está habilitado en los sets afectados.
Monitorear futuros avisos
CyberArk mantiene un FAQ técnico actualizado para cada boletín.
La compañía recomienda que los administradores hagan clic en Follow para recibir actualizaciones.
Conclusión
Los boletines CA25-36 y CA25-37 destacan la importancia de mantener versiones actualizadas del módulo EPM en entornos Windows. Al no existir mitigaciones temporales y ante el riesgo de elevación de privilegios, la actualización inmediata es esencial para proteger la infraestructura corporativa.
