Uma vulnerabilidade crítica de segurança foi divulgada no software de gerenciamento de identidade e acesso (IAM) IdentityIQ da SailPoint, que permite acesso não autorizado ao conteúdo armazenado no diretório da aplicação.
A falha, rastreada como CVE-2024-10905, possui uma pontuação CVSS de 10.0, indicando severidade máxima.
Ela afeta as versões 8.2, 8.3, 8.4 e outras versões anteriores do IdentityIQ.
O IdentityIQ "permite acesso HTTP a conteúdo estático no diretório da aplicação IdentityIQ que deveria ser protegido", de acordo com a descrição da falha no National Vulnerability Database (NVD) do NIST.
A vulnerabilidade foi caracterizada como um caso de manipulação inadequada de nomes de arquivos que identificam recursos virtuais (CWE-66), que poderia ser abusada para ler arquivos de outra forma inacessíveis.
Atualmente, não há outros detalhes disponíveis sobre a falha, nem a SailPoint divulgou um aviso de segurança.
A lista exata de versões impactadas pelo CVE-2024-10905 é listada abaixo -
8.4 e todos os níveis de patch 8.4 anteriores ao 8.4p2
8.3 e todos os níveis de patch 8.3 anteriores ao 8.3p5
8.2 e todos os níveis de patch 8.2 anteriores ao 8.2p8, e
Todas as versões anteriores
O Hacker News entrou em contato com a SailPoint para comentar antes da publicação desta história e atualizará o texto se recebermos uma resposta da empresa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...