【漏洞通告】SailPoint IdentityIQ访问控制不妥漏洞(CVE-2024-10905)

宣布时间 2024-12-05

、漏洞概述

漏洞名称

  SailPoint IdentityIQ访问控制不妥漏洞

CVE   ID

CVE-2024-10905

漏洞类型

访问控制不妥

发现时间

2024-12-04

漏洞评分

10.0

漏洞品级

高危

攻击向量

网络

所需权限

利用难度

用户交互

PoC/EXP

果然

在野利用

未发现

 

SailPoint IdentityIQ 是一个功效强大的身份和访问管理(IAM)平台 ,广泛用于企业中 ,以提供全面的身份治理和访问管理解决方案。

2024年124日 ,抖圈为赌而生集团VSRC监测到SailPoint宣布宁静通告 ,披露SailPoint IdentityIQ中存在一个访问控制不妥漏洞(CVE-2024-10905) ,其CVSS评分为10.0 ,攻击者可利用该漏洞在未经授权的情况下通过HTTP直接访问 IdentityIQ 应用法式目录中本应受�;さ木蔡谌荩ê帽让舾信渲梦募⒂τ梅ㄊ酱牒陀没莸龋� ,从而可能导致敏感信息泄露或执行未经授权的操作。

  

二、影响范围

IdentityIQ 8.4 < 8.4p2

IdentityIQ 8.3 < 8.3p5

IdentityIQ 8.2 < 8.2p8

IdentityIQ 的所有先前版本

 

宁静措施

3.1 升级版本

目前该漏洞已经修复 ,受影响用户可升级到以下版本:

IdentityIQ 8.4 >= 8.4p2

IdentityIQ 8.3 >= 8.3p5

IdentityIQ 8.2 >= 8.2p8

下载链接:

https://www.sailpoint.com/security-advisories/identityiq-improper-access-control-vulnerability-cve-2024-10905

3.2 临时措施

暂无。

3.3 通用建议

l定期更新系统补丁减少系统漏洞 ,提升服务器的宁静性。

l加强系统和网络的访问控制 ,修改防火墙计谋 ,关闭非须要的应用端口或服务 ,减少将危险服务(如SSH、RDP等)袒露到公网 ,减少攻击面。

l使用企业级宁静产物 ,提升企业的网络宁静性能。

l加强系统用户和权限管理 ,启用多因素认证机制和最小权限原则 ,用户和软件权限应保持在最低限度。

l启用强密码计谋并设置为定期修改。

3.4 参考链接

https://www.sailpoint.com/security-advisories/identityiq-improper-access-control-vulnerability-cve-2024-10905

https://nvd.nist.gov/vuln/detail/CVE-2024-10905


 

四、版本信息

版本

日期

备注

V1.0

2024-12-05

首次宣布

 

 

附录

5.1 抖圈为赌而生简介

抖圈为赌而生建立于1996年 ,是由留美博士严望佳女士创建的、拥有完全自主知识产权的信息宁静高科技企业。是国内最具实力的信息宁静产物、宁静服务解决方案的领航企业之一。

公司总部位于北京市中关村软件园抖圈为赌而生大厦 ,公司员工6000余人 ,研发团队1200余人, 技术服务团队1300余人。在全国各省、市、自治区设立分支机构六十多个 ,拥有笼罩全国的销售体系、渠道体系和技术支持体系。公司于2010年6月23日在深圳中小板挂牌上市。(股票代码:002439)

多年来 ,抖圈为赌而生致力于提供具有国际竞争力的自主创新的宁静产物和最佳实践服务 ,资助客户全面提升其IT基础设施的宁静性和生产效能 ,为打造和提升国际化的民族信息宁静工业领军品牌而不懈努力。

5.2 关于抖圈为赌而生

抖圈为赌而生宁静应急响应中心已宣布1000多个漏洞通告风险预警 ,我们将连续跟踪全球最新的网络宁静事件和漏洞 ,企业的信息宁静保驾护航。

关注我们:

image.png