Una actualización crítica es requerida de inmediato. Tres vulnerabilidades de severidad “Alta” permiten a los atacantes eludir las políticas de seguridad y obtener acceso elevado abusando de procesos hijos, cuadros de diálogo y aplicaciones de la Windows Store.
La incertidumbre ha terminado, pero el trabajo para los equipos de TI apenas comienza. Este 25 de febrero de 2026, CyberArk ha publicado oficialmente los detalles de tres boletines de seguridad de alta severidad que afectan a su producto estrella de seguridad de terminales: Endpoint Privilege Manager (EPM) SaaS para agentes Windows.
Los tres fallos comparten un objetivo común y peligroso: la escalada de privilegios no autorizada. Si un atacante logra acceder a una máquina con un agente vulnerable, podría aprovechar configuraciones legítimas del sistema EPM para obtener un control administrativo profundo sobre el equipo.
Los Tres Vectores de Ataque Revelados
El abanico de vulnerabilidades expone fallas en diferentes mecanismos de control de políticas del agente:
- El Abuso de los Cuadros de Diálogo (CA26-08 / CVE-2026-2914): Es la vulnerabilidad más crítica del lote, ostentando una puntuación CVSS de 8.5. El fallo permite una potencial elevación de privilegios no autorizada explotando los propios cuadros de diálogo de elevación de CyberArk. Esto afecta a cualquier agente de Windows en una versión anterior a la 25.12 que tenga configurada la opción de mostrar dichos diálogos.
- La Puerta Trasera de la Windows Store (CA26-09): Con un riesgo CVSS de 7.2, este fallo reside en la forma en que EPM maneja las aplicaciones de la tienda de Microsoft. Los atacantes pueden lograr una escalada de privilegios si el agente (en versiones previas a la 26.2) tiene una política de aplicación activa que eleve los permisos de las “Windows Store Applications”.
- El Peligro de los Procesos Hijos (CA26-10): Evaluado con un CVSS de 7.3, esta vulnerabilidad permite una elevación no autorizada abusando de un “proceso hijo” (child process) previamente elevado. El riesgo se activa en versiones anteriores a la 26.2 siempre que la política del sistema permita la elevación de estos subprocesos.
Alerta Roja: No Hay Soluciones Temporales
La advertencia más crítica en los tres boletines es unánime: no existen mitigaciones temporales disponibles para parchear estos agujeros de seguridad mediante cambios de configuración.
Afortunadamente, hasta el momento de la publicación, CyberArk ha confirmado que no tiene conocimiento de que estas vulnerabilidades estén siendo explotadas de forma activa en entornos reales (In the Wild).
Plan de Acción Inmediato
La única vía para proteger la infraestructura es la actualización forzosa del agente siguiendo la documentación oficial. Las organizaciones deben auditar sus flotas de terminales inmediatamente e iniciar el despliegue de las versiones corregidas de EPM SaaS.
