Μια σοβαρή ευπάθεια εντοπίστηκε στο λογισμικό ταυτότητας και διαχείρισης πρόσβασης (IAM) “SailPoint IdentityIQ“, η οποία επιτρέπει μη εξουσιοδοτημένη πρόσβαση σε περιεχόμενο αποθηκευμένο στον κατάλογο της εφαρμογής.
Η ευπάθεια, καταχωρημένη ως CVE-2024-10905, έχει λάβει βαθμολογία CVSS 10.0, δηλώνοντας τη μέγιστη δυνατή σοβαρότητα. Επηρεάζει τις εκδόσεις IdentityIQ 8.2, 8.3, 8.4, καθώς και όλες τις παλαιότερες εκδόσεις.
Διαβάστε σχετικά: Ευπάθεια Type Confusion στο Google Chrome επιτρέπει απομακρυσμένη πρόσβαση
Σύμφωνα με τη βάση δεδομένων ευπαθειών του NIST (National Vulnerability Database – NVD), η αδυναμία “επιτρέπει την πρόσβαση μέσω HTTP σε στατικό περιεχόμενο στον κατάλογο εφαρμογής του IdentityIQ, το οποίο κανονικά θα έπρεπε να προστατεύεται”.
Ένας Τεράστιος Σταθμός Ηλιακής Ενέργειας στο Διάστημα;
Το Hubble βρήκε νεογέννητα αστέρια στο νεφέλωμα του Ωρίωνα
Ημιμαραθώνιος Κίνα: Άνθρωποι θα αναμετρηθούν με ρομπότ
Η ευπάθεια χαρακτηρίζεται ως περίπτωση εσφαλμένου χειρισμού ονομάτων αρχείων που αναφέρονται σε εικονικούς πόρους (CWE-66). Αυτή η αδυναμία μπορεί να αξιοποιηθεί για την ανάγνωση αρχείων που κανονικά θα ήταν απρόσιτα.
Προς το παρόν, δεν έχουν δημοσιευθεί περισσότερες λεπτομέρειες για την ευπάθεια, ενώ η SailPoint δεν έχει εκδώσει επίσημη ανακοίνωση ασφαλείας. Οι επηρεαζόμενες εκδόσεις του IdentityIQ περιλαμβάνουν:
Δείτε περισσότερα: Κρίσιμη ευπάθεια στο εργαλείο παρακολούθησης δικτύου Zabbix
- Έκδοση 8.4 και όλα τα επίπεδα επιδιορθώσεων πριν από το 8.4p2
- Έκδοση 8.3 και όλα τα επίπεδα επιδιορθώσεων πριν από το 8.3p5
- Έκδοση 8.2 και όλα τα επίπεδα επιδιορθώσεων πριν από το 8.2p8
- Όλες οι προηγούμενες εκδόσεις
Πηγή: thehackernews