CRITICAL🇬🇧 English

CVE-2024-56404

IDOR umożliwiający privilege escalation w One Identity Identity Manager 9.x

CVSS 9.9v3.1pub. 2025-01-24upd. 2026-04-15

W produkcie One Identity Identity Manager w wersjach 9.x przed 9.3 odkryto podatność typu insecure direct object reference (IDOR), która umożliwia privilege escalation. Dotyczy wyłącznie instalacji On-Premise i została oceniona jako krytyczna z wynikiem CVSS 9.9.

Pokaż oryginał (EN)

In One Identity Identity Manager 9.x before 9.3, an insecure direct object reference (IDOR) vulnerability allows privilege escalation. Only On-Premise installations are affected.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej weryfikacji uprawnień przy odwołaniach do obiektów (CWE-302 — niepoprawna weryfikacja uwierzytelnienia). Zalogowany użytkownik z niskimi uprawnieniami może bezpośrednio odwoływać się do obiektów systemowych (IDOR), do których normalnie nie powinien mieć dostępu, omijając tym samym mechanizmy kontroli uprawnień. Efektem jest możliwość eskalacji przywilejów w obrębie systemu zarządzania tożsamościami.

Skutki

Atakujący posiadający konto w systemie może uzyskać wyższy poziom uprawnień, potencjalnie przejmując kontrolę nad krytycznymi zasobami i danymi zarządzanymi przez platformę Identity Manager, co obejmuje poufność, integralność i dostępność systemu.

Mitygacja

Należy zaktualizować One Identity Identity Manager do wersji 9.3 lub nowszej. Szczegółowe informacje o patchu dostępne są w notatkach wydania producenta pod adresem https://support.oneidentity.com/technical-documents/identity-manager/9.3/release-notes/

Kogo dotyczy

One Identity Identity Manager w wersjach 9.x przed 9.3, wyłącznie instalacje On-Premise.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPEIDOR
CWE
Referencje