Kerentanan keamanan kritis telah terungkap dalam perangkat lunak manajemen identitas dan akses (IAM) IdentityIQ SailPoint yang memungkinkan akses tidak sah ke konten yang disimpan dalam direktori aplikasi.
Cacatnya, dilacak sebagai CVE-2024-10905memiliki skor CVSS 10,0, yang menunjukkan tingkat keparahan maksimum. Ini mempengaruhi IdentityIQ versi 8.2. 8.3, 8.4, dan versi sebelumnya lainnya.
IdentityIQ “memungkinkan akses HTTP ke konten statis di direktori aplikasi IdentityIQ yang harus dilindungi,” menurut deskripsi kelemahan pada National Vulnerability Database (NVD) NIST.
Kerentanan ini ditandai sebagai kasus penanganan nama file yang mengidentifikasi sumber daya virtual (CWE-66) yang tidak tepat, yang dapat disalahgunakan untuk membaca file yang tidak dapat diakses.
Saat ini tidak ada rincian lain yang tersedia tentang kelemahan tersebut, dan SailPoint juga belum merilis penasihat keamanan. Daftar persis versi yang terkena dampak CVE-2024-10905 tercantum di bawah –
- 8.4 dan semua level patch 8.4 sebelum 8.4p2
- 8.3 dan semua level patch 8.3 sebelum 8.3p5
- 8.2 dan semua level patch 8.2 sebelum 8.2p8, dan
- Semua versi sebelumnya
The Hacker News telah menghubungi SailPoint untuk memberikan komentar sebelum publikasi cerita ini dan akan memperbarui artikel tersebut jika kami mendapat kabar dari perusahaan.
