12月3日科技新聞網站The Register報導指出,資安業者SailPoint旗下的身分驗證管理(IAM)系統IdentityIQ當中,存在CVSS資安風險達到10分(滿分10分)的資料夾穿越漏洞CVE-2024-10905,並指出他們雖然看到美國國家漏洞資料庫(NVD)週一公布這項漏洞,卻沒有看到SailPoint發布相關公告,僅能得知該漏洞的類型為不當處理識別虛擬資源的檔案名稱(CWE-66)。對此,我們透過公關公司向SailPoint詢問此事。
SailPoint資安長Rex Booth表示,他們已在12月2日發布資安公告,並將這項漏洞登記為CVE-2024-10905列管,並發布修補程式8.4p2、8.3p5、8.2p8版予以修補。
這項漏洞起因是IdentityIQ的存取控制不當,攻擊者有機會在未經授權的情況下,透過HTTP連線存取應用程式資料夾當中,原本應該受到保護的靜態內容。資安新聞網站Cybersecurity News指出,這些靜態內容包含敏感的配置檔案、應用程式的程式碼,甚至還有使用者的資料。
附帶一提的是,SailPoint提及這項漏洞也可能影響已終止支援的舊版,呼籲IT人員應儘速套用相關更新因應。
熱門新聞
2025-01-06
2025-01-03
2025-01-06
2025-01-06
2025-01-03
2025-01-03
Advertisement