Ping Identity 公司披露了其 PingAM Java 代理程序中存在的一个严重安全漏洞,该代理程序是其身份与访问管理(IAM)平台的关键组件。这一漏洞被认定为 CVE-2025-20059,属于相对路径遍历问题,攻击者可能借此绕过策略执行机制,对受保护资源进行未经授权的访问。
根据官方安全公告,该漏洞影响 PingAM Java 代理程序的所有受支持版本,具体如下:
(1)2024.9 及更早版本
(2)2023.11.1 及更早版本
(3)5.10.3 及更早版本
Ping Identity 公司还警告称,更早的不受支持版本也可能存在漏洞。鉴于该漏洞的严重程度(通用漏洞评分系统第 4 版(CVSSv4)评分为 9.2),使用受影响版本的机构被敦促立即采取措施降低风险。
Ping Identity 公司针对 PingAM Java 代理程序 2024.9 版本提供了一个即时缓解措施。管理员可以在 AgentBootstrap.properties 文件中应用以下配置:
org.forgerock.agents.raw.url.path.invalidation.regex.list=;
这一修改会强制代理程序拒绝任何路径中包含分号(;)的传入 URL,并返回 HTTP 400 错误。不过,公告指出,这种方法不适用于需要路径中包含分号的环境。
彻底的解决方案是升级到已打补丁的版本:
(1)PingAM Java 代理程序 2024.11 版本
(2)PingAM Java 代理程序 2023.11.2 版本
(3)PingAM Java 代理程序 5.10.4 版本
Ping Identity 公司的 PingAM 是保障企业数字资产访问安全的关键组件。一个能够绕过策略执行的漏洞可能会导致未经授权的数据访问、权限提升以及潜在的数据泄露。使用 PingAM 的机构必须迅速采取行动降低风险,并升级到最新的安全版本。
发表评论
您还未登录,请先登录。
登录