CyberArk libera una actualización masiva que cubre desde la integridad de las conexiones LDAP en el Digital Vault hasta vulnerabilidades críticas de .NET en el PVWA y fallos físicos en el BIOS de sus servidores.
La gestión de identidades es el último bastión de la seguridad, y hoy, 28 de enero de 2026, CyberArk ha emitido tres boletines de seguridad simultáneos (CA26-04, CA26-05 y CA26-06) que afectan a componentes centrales de su arquitectura PAM (Privileged Access Management).
A diferencia de parches rutinarios, este trío aborda vectores de ataque distintos: la comunicación de la bóveda, el framework subyacente de las aplicaciones web y el propio hardware de los servidores appliance.
CA26-04: El “Oído” de la Bóveda en Riesgo (High)
El primer boletín se centra en una vulnerabilidad de Spoofing que afecta la forma en que el Digital Vault verifica las firmas digitales.
- El Problema: Se ha detectado un fallo en la API de Microsoft utilizada por el Vault para verificar conexiones seguras.
- El Ataque: Un atacante situado en la red podría interceptar y suplantar la comunicación entre el Digital Vault y el directorio activo (LDAP) cuando se utiliza una conexión TLS. Esto podría permitirle engañar a la bóveda para que acepte credenciales falsificadas o se conecte a un directorio malicioso.
- Solución: CyberArk ha endurecido la verificación de certificados en la nueva versión del Vault.
CA26-05: Vulnerabilidad Crítica en el Framework .NET (Critical)
Este es posiblemente el más urgente para los administradores de componentes web.
- El Fallo: Afecta a todos los componentes que dependen de Microsoft .NET Framework y ASP.NET Core, lo que incluye principalmente al Password Vault Web Access (PVWA) y al Central Policy Manager (CPM).
- El Impacto: Se trata de una vulnerabilidad de Ejecución Remota de Código (RCE) heredada del propio framework de Microsoft. Si un servidor PVWA está expuesto o accesible, un atacante podría aprovechar este fallo en la deserialización de objetos para tomar control del servidor sin necesidad de autenticación previa en la consola de CyberArk.
- Mitigación: Además de actualizar el software de CyberArk, es imperativo asegurarse de que el sistema operativo Windows Server subyacente tenga los últimos parches de .NET aplicados.
CA26-06: El Hardware también cuenta (High)
El último boletín, CA26-06, se aleja del software y apunta al “hierro”.
- El Objetivo: Afecta a los clientes que utilizan los Appliances Físicos de CyberArk (basados en servidores Dell PowerEdge).
- El Riesgo: Una vulnerabilidad de Escalada de Privilegios en el firmware del BIOS de Dell. Un atacante con acceso local o ejecución de código limitada en el appliance podría explotar este fallo para ganar persistencia a nivel de firmware, sobreviviendo incluso a reinstalaciones del sistema operativo (OS).
- Acción: Requiere una actualización manual del firmware del BIOS proporcionada en el paquete de descarga de CyberArk.
Resumen de Acción para Administradores PAM
La recomendación oficial es clara: Actualizar y Endurecer.
- Prioridad 1 (PVWA/CPM): Verifique la versión de .NET en sus servidores de componentes y aplique los parches del sistema operativo y la actualización de CyberArk correspondiente al boletín CA26-05.
- Prioridad 2 (Vault): Planifique una ventana de mantenimiento para actualizar el Digital Vault y cerrar la brecha de LDAP (CA26-04).
- Prioridad 3 (Appliances): Si utiliza hardware propietario, no ignore las actualizaciones de firmware del BIOS (CA26-06).
