Podatność w SailPoint IdentityIQ umożliwia nieuwierzytelnionym atakującym zdalny dostęp przez HTTP/HTTPS do statycznych zasobów aplikacji, które powinny być chronione. Uzyskanie dostępu do wrażliwych plików statycznych może prowadzić do poważnych naruszeń poufności, integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
IdentityIQ 8.4 and all 8.4 patch levels prior to 8.4p2, IdentityIQ 8.3 and all 8.3 patch levels prior to 8.3p5, IdentityIQ 8.2 and all 8.2 patch levels prior to 8.2p8, and all prior versions allow HTTP/HTTPS access to static content in the IdentityIQ application directory that should be protected.
Aplikacja IdentityIQ nieprawidłowo zabezpiecza dostęp do statycznych zasobów w swoim katalogu aplikacyjnym. Atakujący może wysyłać żądania HTTP lub HTTPS bezpośrednio do chronionych plików statycznych bez konieczności uwierzytelniania. Mechanizmy kontroli dostępu nie są egzekwowane dla tej kategorii zasobów, co skutkuje ich nieograniczoną dostępnością z sieci (CWE-66: improper handling of file names).
Atakujący może uzyskać nieautoryzowany dostęp do chronionych zasobów statycznych aplikacji, co może prowadzić do ujawnienia wrażliwych danych, naruszenia integralności środowiska oraz potencjalnego zakłócenia dostępności systemu zarządzania tożsamościami.
Należy zaktualizować SailPoint IdentityIQ do wersji 8.4p2, 8.3p5 lub 8.2p8 (odpowiednio dla posiadanej gałęzi). Szczegóły dostępne w oficjalnym komunikacie bezpieczeństwa producenta: https://www.sailpoint.com/security-advisories/identityiq-improper-access-control-vulnerability-cve-2024-10905
SailPoint IdentityIQ 8.4 i wszystkie poziomy patch przed 8.4p2; IdentityIQ 8.3 i wszystkie poziomy patch przed 8.3p5; IdentityIQ 8.2 i wszystkie poziomy patch przed 8.2p8; wszystkie wcześniejsze wersje.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HSailpoint Identityiq
APPSailpoint8.28.38.4< 8.2
Powiązane podatności
Path Traversal w SailPoint IdentityIQ — dostęp do dowolnych plików serwera
IdentityIQ 8.3 and all 8.3 patch levels prior to 8.3p3, IdentityIQ 8.2 and all 8.2 patch levels prior to 8.2p6...
This vulnerability impacts all versions of IdentityIQ and allows an authenticated identity that is the request...
IdentityIQ 8.5, IdentityIQ 8.4 and all 8.4 patch levels prior to 8.4p4, IdentityIQ 8.3 and all 8.3 patch level...
This vulnerability allows an authenticated user to perform a Lifecycle Manager flow or other QuickLink for a t...