CyberArk ha emitido hoy, 17 de diciembre de 2025, dos boletines de seguridad simultáneos que requieren atención inmediata por parte de los administradores de seguridad e identidad (IAM).
Las alertas, catalogadas como de Severidad Alta con una puntuación CVSS de 7.1, afectan al componente Privileged Threat Analytics (PTA), el cerebro encargado de detectar comportamientos anómalos en cuentas privilegiadas.
El problema crítico radica en componentes de terceros integrados en el software, específicamente en las librerías Java y Jackson, lo que expone a las organizaciones a riesgos de denegación de servicio y filtración de información sensible sin necesidad de autenticación.
Desglose Técnico de las Vulnerabilidades
A diferencia de un error de lógica en el código de CyberArk, estos fallos provienen de la “cadena de suministro” de software (librerías externas). A continuación, el detalle de cada amenaza:
1. Fuga de Información en Oracle Java SE (Boletín CA25-40)
- El Fallo: Se ha descubierto una vulnerabilidad en Oracle Java SE, que actúa como base para la librería de terceros Azul Zulu utilizada por PTA5.
- El Impacto: Este es el vector más peligroso para la confidencialidad. La vulnerabilidad podría permitir que un usuario no autenticado acceda a datos procesados por PTA6. Dado que PTA maneja información sobre amenazas privilegiadas y patrones de acceso, la exposición de estos datos podría dar a un atacante un mapa de la seguridad interna de la organización.
2. Denegación de Servicio en Jackson-Core (Boletín CA25-39)
- El Fallo: Afecta a la librería jackson-core, una herramienta estándar para procesar datos JSON8.
- El Impacto: La explotación de este fallo puede provocar la caída de los servicios de PTA (Denegación de Servicio). Si el servicio PTA se detiene, la organización pierde su capacidad de detectar ataques en tiempo real sobre cuentas privilegiadas, quedando “ciega” ante movimientos laterales o escaladas de privilegios.
¿Por qué es esto urgente?
Aunque CyberArk no tiene constancia de que estos fallos estén siendo explotados activamente en sus entornos la naturaleza de las vulnerabilidades (especialmente la de Java que permite acceso sin autenticación) las convierte en un objetivo atractivo.
PTA es una “joya de la corona” en la infraestructura de seguridad; comprometerla o apagarla es el primer paso lógico para un atacante avanzado que quiera operar sin ser detectado.
Recomendación:
Dada la falta de mitigaciones manuales, se recomienda tratar estos boletines (CA25-39 y CA25-40) como una ventana de mantenimiento prioritaria. Descarga los parches desde los enlaces oficiales proporcionados en el portal de clientes y verifica la integridad del servicio post-actualización.
