Новости компьютерной безопасности:

  Latest News

Critical One Identity Manager Vulnerability Let Attackers Escalate Privileges

С сайта: Vulnerability(cybersecuritynews.com)

Critical One Identity Manager Vulnerability Let Attackers Escalate Privileges

Author: Kaaviya Ragupathy

A critical Insecure Direct Object Reference (IDOR) vulnerability has been identified in One Identity Manager, a widely used identity and access management solution. 

This vulnerability, officially tracked as CVE-2024-56404, allows unauthorized privilege escalation under specific configurations. 

The issue affects only On-Premise installations and does not impact customers using the Identity Manager On Demand or Starling Edition.

Understanding the Vulnerability
The IDOR vulnerability arises when applications fail to enforce proper access control mechanisms on user-supplied input, such as object references in URLs or parameters.

Attackers can exploit this by manipulating object identifiers to gain unauthorized access to resources or escalate privileges. In the context of Identity Manager, this could allow attackers to:

  • Access administrative functionalities.
  • Modify user roles to assign themselves higher privileges.
  • Exploit sensitive configuration files.

Such vulnerabilities are particularly dangerous when chained with other exploits, enabling attackers to achieve vertical privilege escalation, where they gain access to higher-level permissions than initially granted.

The vulnerability impacts customers using One Identity Manager versions 9.0.x through 9.2.1. Specifically:

  • Versions 9.0.x LTS requires the application of CU3 (Cumulative Update 3) before installing the hotfix.
  • Customers using versions 9.1x and 9.2.x are also vulnerable.

It is critical for affected organizations to address this flaw immediately to prevent potential exploitation.

Resolution and Mitigation
One Identity has released hotfixes for all the impacted versions to address this vulnerability. Customers are urged to:

Apply the relevant hotfix for their version,


    • 9.0.x LTS CU3
    • 9.1x
    • 9.2.x

    Alternatively, upgrade to version 9.3, which resolves the vulnerability entirely.

    The hotfixes include robust access control mechanisms designed to mitigate IDOR risks by validating user permissions before granting access to sensitive resources.

    Exploiting IDOR vulnerabilities can lead to severe consequences, including unauthorized data access, account takeovers, and system compromise.

    Hence, by addressing these vulnerabilities proactively, organizations can safeguard their systems against privilege escalation threats and maintain robust security postures.



    #Cyber_Security #Cyber_Security_News #Threats #Vulnerability #cyber_security #cyber_security_news #vulnerability

    Оригинальная версия на сайте: Critical One Identity Manager Vulnerability Let Attackers Escalate Privileges
    Вернуться к списку новостей К свежим новостям Здесь был google AdSense.
    Вместо рекламы товаров началась политическая агитация.
    Отключено до получения извинений.

    Вернуться к списку новостей Здесь был google AdSense.
    Вместо рекламы товаров началась политическая агитация.
    Отключено до получения извинений.


    Новости проекта CSN:

    ✉ CSN.net4me.net

    Обновление сайта csn.net4me.net

    Обновление сайта csn.net4me.net 💻
    cyber security news
    • Физически мы переехали на новый сервер. Благодарим наших подписчиков и постоянных читателей за терпение и понимание.
    • Сайт csn.net4me.net полностью адаптирован для работы по шифрованному SSL соединению.
    • Изменен механизм обработки и отображения опасных и критических уязвимостей.

    Благодарим что вы с нами.


    #CSN_обновление_сайта
    https://csn.net4me.net/cyber_security_8301.html

    Дополнительный материал

    О проекте CSN

    Проект CSN.net4me.net родился 16 Марта 2018 года.
    Проект находится в самом начале своего развития. Конечно оформление, наполнение будет меняться. Одно останется неизменным - самые свежие новости компьютерной и сетевой безопасности.

    О проекте net4me

    Проект net4me.net развивался как сборник готовых решений и документации по темам компьютерной безопасности, сетевых решений и СПО (в часности linux). Темпы развития IT отрасли оказались столь быстрыми, что некоторые знания, технологии и информация о них устаревали мгновенно. Тем не менее, некоторый материал net4me.net до сих пор востребован.

    Об источниках

    Новости берутся CSN из открытых и доступных каждому источников. Авторы проекта стараются подбирать авторитетные и проверенные источники. Но, тем не менее, не несут ответственности за содержимое новостей. В каждой новости указывается источник этой новости, её автор и ссылка на оригинал новости.

    Информация

    Если вы желаете чтобы новости вашего ресурса были размещены на сайте CSN, то свяжитесь с авторами проекта csn@net4me.net и предложите ссылку на rss или xml ленту новостей вашего ресурса. Любая предложенная информация будет рассмотрена редакцией.