W produkcie One Identity Identity Manager w wersjach 9.x przed 9.3 odkryto podatność typu insecure direct object reference (IDOR), która umożliwia privilege escalation. Dotyczy wyłącznie instalacji On-Premise i została oceniona jako krytyczna z wynikiem CVSS 9.9.
▸ Pokaż oryginał (EN)
In One Identity Identity Manager 9.x before 9.3, an insecure direct object reference (IDOR) vulnerability allows privilege escalation. Only On-Premise installations are affected.
Podatność wynika z nieprawidłowej weryfikacji uprawnień przy odwołaniach do obiektów (CWE-302 — niepoprawna weryfikacja uwierzytelnienia). Zalogowany użytkownik z niskimi uprawnieniami może bezpośrednio odwoływać się do obiektów systemowych (IDOR), do których normalnie nie powinien mieć dostępu, omijając tym samym mechanizmy kontroli uprawnień. Efektem jest możliwość eskalacji przywilejów w obrębie systemu zarządzania tożsamościami.
Atakujący posiadający konto w systemie może uzyskać wyższy poziom uprawnień, potencjalnie przejmując kontrolę nad krytycznymi zasobami i danymi zarządzanymi przez platformę Identity Manager, co obejmuje poufność, integralność i dostępność systemu.
Należy zaktualizować One Identity Identity Manager do wersji 9.3 lub nowszej. Szczegółowe informacje o patchu dostępne są w notatkach wydania producenta pod adresem https://support.oneidentity.com/technical-documents/identity-manager/9.3/release-notes/
One Identity Identity Manager w wersjach 9.x przed 9.3, wyłącznie instalacje On-Premise.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H