Uma vulnerabilidade grave foi identificada no software de gerenciamento de identidade e acesso IdentityIQ, da SailPoint, colocando em risco a segurança dos dados armazenados em seus sistemas. A falha, classificada como CVE-2024-10905, recebeu a pontuação máxima de gravidade (CVSS 10.0), destacando seu potencial crítico. De acordo com especialistas, o problema permite que invasores obtenham acesso não autorizado ao conteúdo protegido no diretório do aplicativo.
Leia também
Firewalls em chamas: 5 anos barrando chineses
Alto risco em dispositivos Wi-Fi industriais
O erro afeta especificamente as versões 8.2, 8.3, 8.4 e todas as versões anteriores do IdentityIQ. Conforme registrado no NVD (Banco de Dados Nacional de Vulnerabilidades) do NIST, a falha está relacionada ao acesso via HTTP ao conteúdo estático do diretório do aplicativo, que deveria estar devidamente protegido. A brecha foi categorizada como um caso de manejo incorreto de nomes de arquivos que identificam recursos virtuais (CWE-66), permitindo que arquivos sensíveis sejam acessados de forma indevida.
A lista de versões afetadas inclui: todas as versões 8.4 anteriores ao patch 8.4p2; todas as versões 8.3 anteriores ao patch 8.3p5; todas as versões 8.2 anteriores ao patch 8.2p8; e todas as versões mais antigas. Até o momento, a SailPoint não publicou um aviso oficial de segurança nem forneceu informações adicionais sobre o caso, deixando organizações que utilizam o software em alerta máximo.
Embora a extensão do impacto ainda não tenha sido completamente divulgada, especialistas apontam que falhas com pontuação CVSS máxima são frequentemente exploradas rapidamente por agentes mal-intencionados. Isso exige uma resposta rápida das empresas que utilizam o IdentityIQ, seja atualizando para versões mais recentes quando disponíveis ou implementando medidas adicionais de proteção.
Até o momento em que esta matéria foi publicada, a SailPoint ainda não havia enviado esclarecimentos à mídia.