Lack of rate-limiting in password change mechanism in CyberArk Endpoint Privilege Manager 漏洞信息(CVE-2025-22273)

一、漏洞 CVE-2025-22273 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

CyberArk Endpoint Privilege Manager中的密码更改机制缺乏速率限制

来源：AIGC 神龙大模型

漏洞描述信息

应用程序未限制用户操作的数量或频率，例如接收请求的数量。在 `/EPMUI/VfManager.asmx/ChangePassword` 端点，可能对当前使用的密码进行暴力破解攻击。此问题影响 CyberArk Endpoint Privilege Manager SaaS 版本 24.7.1。其他版本的状态未知。经过多次尝试联系厂商，我们未收到任何回复。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

过多认证尝试的限制不恰当

来源：AIGC 神龙大模型

漏洞标题

Lack of rate-limiting in password change mechanism in CyberArk Endpoint Privilege Manager

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Application does not limit the number or frequency of user interactions, such as the number of incoming requests. At the "/EPMUI/VfManager.asmx/ChangePassword" endpoint it is possible to perform a brute force attack on the current password in use. This issue affects CyberArk Endpoint Privilege Manager in SaaS version 24.7.1. The status of other versions is unknown. After multiple attempts to contact the vendor we did not receive any answer.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

不加限制或调节的资源分配

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-22273 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-22273 的情报信息

标题： Vulnerabilities in CyberArk Endpoint Privilege Manager software | CERT Polska -- 🔗来源链接

标签： third-party-advisory
标题： Podatności w oprogramowaniu CyberArk Endpoint Privilege Manager | CERT Polska -- 🔗来源链接

标签： third-party-advisory
标题： CyberArk Docs -- 🔗来源链接

标签： product
https://nvd.nist.gov/vuln/detail/CVE-2025-22273

一、 漏洞 CVE-2025-22273 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-22273 的公开POC

三、漏洞 CVE-2025-22273 的情报信息

一、漏洞 CVE-2025-22273 基础信息