CVE-2025-20059 (CVSS 9.2): Urgent Action Needed to Patch PingAM Java Agent Vulnerability
2025/02/27 SecurityOnline — Ping Identity が明らかにしたのは、IAM (Identity and Access Management) プラットフォームの主要コンポーネントである PingAM Java Agent に、深刻なセキュリティ脆弱性が存在することだ。
この、相対パス・トラバーサルの脆弱性 CVE-2025-20059 (CVSSv4:9.2) の悪用に成功した攻撃者は、ポリシー適用をバイパスすることで、本来なら保護されるリソースへの、不正アクセスを達成する機会を得る。
公式のセキュリティ・アドバイザリによると、この脆弱性は、PingAM Java Agent の全サポート・バージョンに影響に影響を及ぼすという。そこには、以下が含まれる:
- 2024.9 以下
- 2023.11.1 以下
- 5.10.3 以下
Ping Identity が警告するのは、サポートが終了している古いバージョンも脆弱である可能性だ。影響を受けるバージョンに依存している組織は、速やかに対策を講じ、リスクを軽減する必要がある。
その一方で Ping Identity は、PingAM Java Agent バージョン 2024.9 専用の即時的な緩和策の手順を提供している。管理者は AgentBootstrap.properties に対して、以下のコンフィグを適用できる:
org.forgerock.agents.raw.url.path.invalidation.regex.list=;
この変更によりエージェントは、パスにセミコロン “;” が含まれる、すべての受信 URL を HTTP 400 エラーで拒否するようになる。ただし、このアプローチはセミコロンを含むパスが必要な環境には適していないと、Ping Identity のアドバイザリには記載されている。
最も確実な解決策は、パッチ適用したバージョンへとアップグレードすることだ:
- PingAM Java Agent 2024.11
- PingAM Java Agent 2023.11.2
- PingAM Java Agent 5.10.4
アイデンティティ管理ソリューションに特化したソフトウェア企業の Ping Identity の PingAM Java Agent における、パス・トラバーサルの脆弱性が FIX しました。この脆弱性の CVSS 値は 9.2 と高く、本文中にもある通り、サポートが終了している古いバージョンも脆弱である可能性があるとのことです。ご利用のチームは、十分にご注意ください。よろしければ、カテゴリ AuthN AuthZ も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.