Cuando la seguridad de la herramienta que protege tus credenciales más críticas está en riesgo, la única opción es actuar rápido.
¡Atención a todos los administradores de gestión de accesos privilegiados (PAM)! Este 25 de marzo de 2026, CyberArk ha emitido el boletín de seguridad urgente CA26-14 advirtiendo sobre una brecha de severidad alta que afecta directamente a su producto Password Vault Web Access (PVWA) en entornos autoalojados (Self-Hosted).
El Problema: Contaminación de Prototipos (CVE-2026-25639)
El núcleo de esta amenaza, clasificada con un puntaje CVSS de 7.5, no proviene del código original de CyberArk, sino de una vulnerabilidad de “Contaminación de Prototipos” (Prototype pollution) originada en la popular librería de terceros Axios.
El alcance del problema abarca todas las arquitecturas de despliegue y afecta a las siguientes versiones:
- Rama 15.0 (STS): Todas las versiones anteriores a la 15.0.2 están comprometidas.
- Rama 14.6 (LTS): Todas las versiones anteriores a la 14.6.3 están comprometidas.
Afortunadamente, y para alivio de los defensores, CyberArk ha confirmado que hasta el momento no hay evidencia de que esta vulnerabilidad esté siendo explotada activamente por atacantes en entornos reales.
Cero Mitigaciones: El Parcheo es Obligatorio
El boletín es sumamente claro y directo: no existe ninguna mitigación temporal ni configuración mágica que proteja tus servidores contra este fallo sin aplicar la actualización oficial de software.
La única vía de resolución es la actualización inmediata:
- Entornos On-Premises: Los administradores deben descargar e instalar de inmediato los parches 15.0.2 (para la rama 15.0) o 14.6.3 (para la rama 14.6) desde el portal oficial de CyberArk.
- Clientes PAM On Cloud (AWS): Para versiones 14.2 y posteriores, las imágenes ya parcheadas (v15.0.2 o v14.6.3) están listas para ser descargadas y desplegadas directamente desde el AWS Marketplace.
- Clientes PAM On Cloud (Azure o versiones antiguas): Quienes operen en la nube de Microsoft, o usen versiones en la nube anteriores a la 14.2, deberán seguir el proceso de parcheo manual tradicional indicado para entornos locales.
