CVE-2024-10905 (CVSS 10): Critical Vulnerability in SailPoint IdentityIQ Exposes Sensitive Data
2024/12/04 SecurityOnline — SailPoint IdentityIQ に、深刻な脆弱性 CVE-2024-10905 (CVSS:10.0) が発見された。この人気の ID/アクセス管理 (IAM:identity and access management) プラットフォームに存在する脆弱性の悪用は容易であり、影響を受ける組織において、甚大な影響が生じる可能性が示唆される。
脆弱性 CVE-2024-10905 の詳細
この脆弱性は、IdentityIQ の不適切なアクセス制御に起因する。この脆弱性の悪用に成功した攻撃者は、アプリケーション・ディレクトリ内における、機密性の高いコンフィグ・ファイル/アプリケーション・コード/ユーザー・データといった静的コンテンツに対して、不正アクセスの可能性を手にする。
影響を受けるバージョン
脆弱性 CVE-2024-10905 は、以下の幅広いバージョンの IdentityIQ の広範なバージョンに影響を及ぼす。具体的には、以下のリストを参照してほしい:
- IdentityIQ 8.4 and all 8.4 patch levels prior to 8.4p2
- IdentityIQ 8.3 and all 8.3 patch levels prior to 8.3p5
- IdentityIQ 8.2 and all 8.2 patch levels prior to 8.2p8
- All previous versions of IdentityIQ
ただちにパッチ適用を!
すでに SailPoint は、すべての IdentityIQ バージョンに対して e-fixes をリリースし、この脆弱性に対処している。ユーザー組織に対して推奨されるのは、これらのパッチを直ちに適用することだ。
SailPoint IdentityIQ の脆弱性ですが、CVSS 10.0 であり、悪用が容易だと指摘されています。ご利用のチームは、ご参照ください。同社の Web サイトには、「AI と ML を活用し、プロビジョニング/アクセス要求/アクセス認証/職務分離要求をシームレスに自動化するソリューションである。SailPoint IdentityIQ とコネクタ・ライブラリを高度に統合することで、すべての重要なビジネス アプリケーションへのアクセスをインテリジェントに管理できる」と紹介されていました。
IoT OT Security News 
You must be logged in to post a comment.