【安全资讯】SailPoint IdentityIQ曝出严重目录遍历漏洞

概要：

SailPoint最近披露了其身份与访问管理平台IdentityIQ中的一个严重漏洞，严重性评分达到满分10/10。该漏洞的发现引发了对用户数据安全的广泛关注，尤其是在金融和IT行业中，可能导致敏感信息的泄露。

主要内容：

该漏洞被标识为CVE-2024-10905，属于目录遍历类型，编号为CWE-66。这类漏洞允许攻击者通过未经过滤的用户输入访问本不应有权限查看的文件目录，从而泄露敏感信息，甚至可能导致系统的更广泛妥协。美国网络安全和基础设施安全局（CISA）早在今年就已警告技术制造商，要求他们重视用户提供内容的潜在恶意性，以防止此类漏洞的发生。

SailPoint的多个版本（8.4.x、8.3.x、8.2.x及更早版本）均受到影响，用户被建议升级至8.4p2、8.3p5和8.2p8版本以修复该漏洞。尽管SailPoint未发布安全公告，也未回应是否已发生成功的攻击尝试，但其客户包括BNP Paribas、丰田欧洲、飞利浦等知名企业，表明该漏洞可能对多个大型组织构成威胁。

CISA的警告强调，解决基本安全问题是减少对关键服务攻击的有效途径。随着网络攻击手段的不断演进，企业必须采取积极措施，确保其软件开发遵循安全设计原则，以保护用户数据和系统安全。