SailPoint IdentityIQ访问控制不当漏洞CVE-2024-10905

SailPoint IdentityIQ 是一款功能强大的身份和访问管理（IAM）平台，产品广泛用于企业中，以提供全面的身份治理和访问管理解决方案。

SailPoint可透过单一开放身份合规平台打破孤岛式安全管理模式，结合企业身份与存取治理方案IdentityIQ与资料存取控管方案SecurityIQ，

从而为所有系统及资料提供身分帐号权限的单一信任来源，提供最高等级资料保护，遏止非法盗用行为，可将IAM置于安全和IT策略核心。

一、基本情况

IdentityIQ是SailPoint公司推出的本地身份治理解决方案，产品可为大型、复杂的企业客户提供统一的、高度可配置的身份治理解决方案。

IdentityIQ以身份认证方式满足合规要求如GDPR，强化对内部威胁防范，整合安全性资讯与事件管理（SIEM）解决方案、特权帐户管理。

IdentityIQ作为身份管理领先方案，可迅速回应法规和生命周期管理业务变化， 如用户离职及异动事件，自动创建、修正和撤销用户权限。

IdentityIQ可建立政策、风险与角色的管理模型制定准则与不同保安厂商合作把准则融入到安全性资讯与事件管理（SIEM）及IT安全服务。

栋科技漏洞库关注到SailPoint资安公告披露SailPoint IdentityIQ一个访问控制不当漏洞，漏洞被追踪为CVE-2024-10905，CVSS评分10.0。

二、漏洞分析

CVE-2024-10905漏洞是SailPoint IdentityIQ中存在一个访问控制不当漏洞，漏洞源于 IdentityIQ 中不当的访问控制，由官方资安公告披露。

该漏洞允许攻击者在未经授权的情况下，通过HTTP直接访问IdentityIQ应用程序目录中的静态内容，但实际上这些静态内容本应受到保护。

攻击者可以利用该漏洞获取敏感配置文件、应用程序代码甚至可能是用户数据，从而可能导致敏感信息泄露，或者是执行未经授权的操作。

目前SailPoint 已发布电子修复程序，以解决所有支持的 IdentityIQ 版本的此漏洞，强烈建议使用任何受影响版本的企业立即应用这些补丁。

三、影响范围

IdentityIQ 8.4 < 8.4p2

IdentityIQ 8.3 < 8.3p5

IdentityIQ 8.2 < 8.2p8

IdentityIQ 的所有先前版本

四、修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

IdentityIQ 8.4 >= 8.4p2

IdentityIQ 8.3 >= 8.3p5

IdentityIQ 8.2 >= 8.2p8

五、参考链接

https://www.sailpoint.com/security-advisories/identityiq-improper-access-control-vulnerability-cve-2024-10905