CRITICAL🇬🇧 English

CVE-2024-10905

SailPoint IdentityIQ — nieautoryzowany dostęp do chronionych zasobów statycznych

CVSS 10.0v3.1pub. 2024-12-02upd. 2025-11-12

Podatność w SailPoint IdentityIQ umożliwia nieuwierzytelnionym atakującym zdalny dostęp przez HTTP/HTTPS do statycznych zasobów aplikacji, które powinny być chronione. Uzyskanie dostępu do wrażliwych plików statycznych może prowadzić do poważnych naruszeń poufności, integralności i dostępności systemu.

Pokaż oryginał (EN)

IdentityIQ 8.4 and all 8.4 patch levels prior to 8.4p2, IdentityIQ 8.3 and all 8.3 patch levels prior to 8.3p5, IdentityIQ 8.2 and all 8.2 patch levels prior to 8.2p8, and all prior versions allow HTTP/HTTPS access to static content in the IdentityIQ application directory that should be protected.

🤖 Analiza AI
Jak działa

Aplikacja IdentityIQ nieprawidłowo zabezpiecza dostęp do statycznych zasobów w swoim katalogu aplikacyjnym. Atakujący może wysyłać żądania HTTP lub HTTPS bezpośrednio do chronionych plików statycznych bez konieczności uwierzytelniania. Mechanizmy kontroli dostępu nie są egzekwowane dla tej kategorii zasobów, co skutkuje ich nieograniczoną dostępnością z sieci (CWE-66: improper handling of file names).

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do chronionych zasobów statycznych aplikacji, co może prowadzić do ujawnienia wrażliwych danych, naruszenia integralności środowiska oraz potencjalnego zakłócenia dostępności systemu zarządzania tożsamościami.

Mitygacja

Należy zaktualizować SailPoint IdentityIQ do wersji 8.4p2, 8.3p5 lub 8.2p8 (odpowiednio dla posiadanej gałęzi). Szczegóły dostępne w oficjalnym komunikacie bezpieczeństwa producenta: https://www.sailpoint.com/security-advisories/identityiq-improper-access-control-vulnerability-cve-2024-10905

Kogo dotyczy

SailPoint IdentityIQ 8.4 i wszystkie poziomy patch przed 8.4p2; IdentityIQ 8.3 i wszystkie poziomy patch przed 8.3p5; IdentityIQ 8.2 i wszystkie poziomy patch przed 8.2p8; wszystkie wcześniejsze wersje.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Sailpoint Identityiq

    APP
    Sailpoint
    8.28.38.4< 8.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-2227CRITICAL10.0PL ✓ten sam produkt

Path Traversal w SailPoint IdentityIQ — dostęp do dowolnych plików serwera

CVE-2023-32217CRITICAL9.0ten sam produkt

IdentityIQ 8.3 and all 8.3 patch levels prior to 8.3p3, IdentityIQ 8.2 and all 8.2 patch levels prior to 8.2p6...

CVE-2026-5712HIGH8.0ten sam produkt

This vulnerability impacts all versions of IdentityIQ and allows an authenticated identity that is the request...

CVE-2025-10280HIGH7.1ten sam produkt

IdentityIQ 8.5, IdentityIQ 8.4 and all 8.4 patch levels prior to 8.4p4, IdentityIQ 8.3 and all 8.3 patch level...

CVE-2024-2228HIGH7.1ten sam produkt

This vulnerability allows an authenticated user to perform a Lifecycle Manager flow or other QuickLink for a t...