网络安全

Network Security

当前位置: 首页 > 网络安全 > 网络安全预警信息 > 正文

关于SailPoint IdentityIQ访问控制不当漏洞(CVE-2024-10905)的安全预警

日期:2024-12-06阅读:

一、 基本情况

SailPoint IdentityIQ 是一个功能强大的身份和访问管理(IAM)平台,广泛用于企业中,以提供全面的身份治理和访问管理解决方案。

二、 漏洞描述

SailPoint发布安全公告,披露SailPoint IdentityIQ中存在一个访问控制不当漏洞(CVE-2024-10905),其CVSS评分为10.0,攻击者可利用该漏洞在未经授权的情况下通过HTTP直接访问 IdentityIQ 应用程序目录中本应受保护的静态内容(比如敏感配置文件、应用程序代码和用户数据等),从而可能导致敏感信息泄露或执行未经授权的操作。

三、 影响范围

IdentityIQ 8.4 < 8.4p2

IdentityIQ 8.3 < 8.3p5

IdentityIQ 8.2 < 8.2p8

IdentityIQ 的所有先前版本

四、 修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

IdentityIQ 8.4 >= 8.4p2

IdentityIQ 8.3 >= 8.3p5

IdentityIQ 8.2 >= 8.2p8

下载链接:

https://www.sailpoint.com/security-advisories/identityiq-improper-access-control-vulnerability-cve-2024-10905

五、 参考链接

https://www.sailpoint.com/security-advisories/identityiq-improper-access-control-vulnerability-cve-2024-10905

https://nvd.nist.gov/vuln/detail/CVE-2024-10905


我是盾盾