在广泛使用的身份和访问管理（IAM）平台 SailPoint IdentityIQ 中发现了一个关键漏洞。该漏洞被追踪为 CVE-2024-10905，其 CVSS 得分为 10.0，这是可能的最高严重性评级，表明该漏洞很容易被利用，并可能对受影响的组织造成重大影响。

不当访问控制导致数据泄露

该漏洞源于 IdentityIQ 中不当的访问控制。攻击者可以利用这一漏洞，在未经授权的情况下访问应用程序目录中的静态内容。这可能包括敏感的配置文件、应用程序代码，甚至可能包括用户数据。

受影响的版本

该漏洞影响多种IdentityIQ版本，包括

• IdentityIQ 8.4及8.4p2之前的所有8.4补丁级别
• IdentityIQ 8.3及8.3p5之前的所有8.3补丁级别
• IdentityIQ 8.2及8.2p8之前的所有8.2补丁级版本
• 所有以前版本的IdentityIQ

需要采取紧急行动

SailPoint 已发布电子修复程序，以解决所有支持的 IdentityIQ 版本的此漏洞。强烈建议使用任何受影响版本的企业立即应用这些补丁。未来的补丁级别也将包括必要的修复。