德国网络安全公司RedTeam Pentesting GmbH的安全研究人员最近在CyberArk企业密码保险库（Enterprise Password Vault，EPV）应用程序中发现了一个严重的远程代码执行漏洞，该漏洞可能允许攻击者利用CyberArk EPV 的WEB访问应用（Password Vault Web Access，PVWA）组件的特权来对目标系统进行未经授权的访问。

CyberArk EPV可帮助各类机构保护、管理、自动更改各种特权密码并记录与之相关的活动。如Windows服务器的管理员密码、UNIX服务器的根密码、Cisco设备的启用密码，以及应用程序及文本中的内置密码等等。它主要包含了四大组件：

• 密码保险库（Vault）-这是一个为企业特权帐号密码提供安全的集中存储、保护和管理访问的仓库；

• CPM- CPM为多种目标系统的特权帐号密码提供更新，包括各种路由器、数据库、服务器、目录服务和固话于应用程序中的密码；

• Windows GUI客户端-此客户端允许管理员访问和配置EPV系统，包括设置用户信息，定义系统访问等等；

• Password Vault Web Access（PVWA）-这个基于Web的界面允许IT人员能够快速地获取目标系统的特权账号密码。

研究人员表示，被追踪为CVE-2018-9843的漏洞就存在于PVWA中。它是由于Web服务器不安全地处理反序列化操作的方式造成的，这可能允许攻击者在处理反序列化数据的服务器上执行恶意代码。

据研究人员介绍，当用户登录到自己的账户时，PVWA会使用REST API向服务器发送一个身份验证请求，请求授权头包含有一个以序列化.的NET对象（以base64编码）。而这个序列化的.NET对象保存了关于用户会话的信息，但他们发现“序列化数据的完整性并没有得到保护”。

由于服务器并不会验证序列化数据的完整性，并且不安全地处理反序列化操作，这使得攻击者能够篡改身份验证令牌，将其恶意代码注入到授权头中，以此获取到能够在未经身份认证的情况下在Web服务器上远程执行任意代码的能力。

目前，RedTeam Pentesting GmbH的研究人员已经将一段完整的概念验证代码发布在了GitHub上，并将这个项目命名为“ysoserial.net”，它被描述为“用于生成能够利用不安全的.NET对象反序列化的有效载荷的概念验证工具。”

至于有关于漏洞和利用代码的技术细节，研究人员表示，他们会在向CyberArk报告漏洞并且该公司推出修复版本之后才会发布。

根据研究人员的描述，这个漏洞影响到9.9.5和9.10之前的版本以及10.1版本。因此，研究人员强烈建议使用CyberArk PVWA的企业将其软件升级到版本9.9.5、9.10或10.2。

另外，如果用户由于某些原因暂时无法立即升级软件，则可以通过禁用任何对route/PasswordVault/WebServices上API的访问来做为针对此漏洞的缓解措施。