SailPoint’in IdentityIQ kimlik ve erişim yönetimi (IAM) yazılımında, uygulama dizininde depolanan içeriğe yetkisiz erişime izin veren kritik bir güvenlik açığı ortaya çıktı.
Kusur şu şekilde izlendi: CVE-2024-10905maksimum ciddiyeti gösteren 10.0 CVSS puanına sahiptir. IdentityIQ 8.2 sürümlerini etkiler. 8.3, 8.4 ve diğer önceki sürümler.
NIST’in Ulusal Güvenlik Açığı Veritabanındaki (NVD) kusurun açıklamasına göre IdentityIQ, “IdentityIQ uygulama dizinindeki korunması gereken statik içeriğe HTTP erişimine izin veriyor”.
Güvenlik açığı, sanal kaynakları tanımlayan dosya adlarının (CWE-66) uygunsuz işlenmesi durumu olarak tanımlanıyor ve bu durum, aksi takdirde erişilemeyecek dosyaları okumak için kötüye kullanılabilir.
Şu anda kusurla ilgili başka ayrıntı mevcut değil ve SailPoint bir güvenlik tavsiyesi yayınlamadı. CVE-2024-10905’ten etkilenen sürümlerin tam listesi aşağıda listelenmiştir:
- 8.4 ve 8.4p2’den önceki tüm 8.4 yama seviyeleri
- 8.3 ve 8.3p5’ten önceki tüm 8.3 yama seviyeleri
- 8.2 ve 8.2p8’den önceki tüm 8.2 yama seviyeleri ve
- Önceki tüm sürümler
Hacker News, bu hikayenin yayınlanmasından önce yorum almak için SailPoint’e ulaştı ve şirketten geri dönüş alırsak haberi güncelleyecek.