
Se ha revelado una vulnerabilidad de seguridad crítica en el sitio web de SailPoint. IdentidadIQ Software de gestión de identidad y acceso (IAM) que permite el acceso no autorizado al contenido almacenado en el directorio de la aplicación.
El defecto, rastreado como CVE-2024-10905tiene una puntuación CVSS de 10,0, lo que indica gravedad máxima. Afecta a las versiones 8.2 de IdentityIQ. 8.3, 8.4 y otras versiones anteriores.
IdentityIQ “permite el acceso HTTP a contenido estático en el directorio de la aplicación IdentityIQ que debe protegerse”, según un descripción de la falla en la Base de Datos Nacional de Vulnerabilidad (NVD) del NIST.
La vulnerabilidad se ha caracterizado como un caso de manejo inadecuado de nombres de archivos que identifican recursos virtuales (CWE-66), del que se podría abusar para leer archivos que de otro modo serían inaccesibles.
Actualmente no hay otros detalles disponibles sobre la falla, ni SailPoint ha publicado un aviso de seguridad. La lista exacta de versiones afectadas por CVE-2024-10905 se detalla a continuación:
- 8.4 y todos los niveles de parche 8.4 anteriores a 8.4p2
- 8.3 y todos los niveles de parche 8.3 anteriores a 8.3p5
- 8.2 y todos los niveles de parche 8.2 anteriores a 8.2p8, y
- Todas las versiones anteriores
The Hacker News se comunicó con SailPoint para solicitar comentarios antes de la publicación de esta historia y actualizará el artículo si recibimos noticias de la compañía.



