CVE-2024-10905 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SailPoint IdentityIQ 存在**不当访问控制**漏洞。 🔥 **后果**：攻击者可通过 **HTTP** 直接访问本应受保护的**静态内容**，导致敏感信息泄露或系统完整性受损。

🛡️ **CWE ID**：**CWE-66** (Improper Control of a Resource Through its Identifier)。 🔍 **缺陷点**：应用程序目录中的**静态资源**未正确实施访问控制，错误地允许了 **HTTP** 明文访问。

🏢 **厂商**：**SailPoint Technologies**。 📦 **产品**：**IdentityIQ**。 ⚠️ **注意**：具体受影响版本未在数据中列出，需查阅官方公告确认。

💻 **权限**：**无权限** (PR:N) 即可利用。 📊 **数据**：**高**风险 (C:H, I:H, A:H)。 👉 **能力**：黑客可读取受保护的静态文件，可能导致**配置泄露**、**凭证暴露**或**服务中断**。

🚪 **门槛**：**极低**。 🔑 **认证**：**无需认证** (PR:N)。 🖱️ **交互**：**无需用户交互** (UI:N)。 🌐 **网络**：**远程**可利用 (AV:N)。 🎯 **复杂度**：**低** (AC:L)。

📜 **PoC**：数据中显示 **无** 现成 PoC (pocs: [])。 🌍 **在野**：暂无在野利用报告。 🔗 **参考**：建议查看 SailPoint 官方安全公告获取最新情报。

🔍 **自查特征**：检查 SailPoint IdentityIQ 部署，确认**静态内容目录**是否通过 HTTP 暴露。 🛡️ **扫描建议**：使用漏洞扫描器检测 **CWE-66** 类型的不当资源访问，重点关注身份管理平台的静态资源路径。

🔧 **官方修复**：SailPoint 已发布安全公告 (2024-12-02)。 📥 **行动**：请立即访问 SailPoint 官网查看 **IdentityIQ** 的补丁更新说明，并应用官方修复版本。

🚧 **临时规避**： 1️⃣ **网络隔离**：限制对 IdentityIQ 静态内容目录的 **HTTP** 访问。 2️⃣ **访问控制**：在 Web 服务器或防火墙层配置规则，**拒绝**未授权访问受保护资源。 3️⃣ **监控**：加强对相关目录访问日志的审计。

🔥 **优先级**：**紧急**。 📈 **CVSS**：**9.8** (Critical)。 💡 **建议**：由于无需认证且影响范围极大（机密性、完整性、可用性均受损），建议**立即**评估并应用补丁或缓解措施。