SailPoint Technologies - CVE-2026-5712
Date de publication :
Il s’agit d’une vulnérabilité d’autorisation incorrecte dans SailPoint IdentityIQ.
SailPoint IdentityIQ est une solution de gestion des identités et des accès (IAM) utilisée pour administrer les rôles, identités et habilitations utilisateurs.
La vulnérabilité est due à un défaut dans le contrôle des capacités associées aux identités, permettant à certains utilisateurs d’effectuer des actions au‑delà de leurs privilèges autorisés.
Elle permet à un utilisateur authentifié, demandeur ou assigné à un work item, de modifier la définition d’un rôle sans autorisation, compromettant l’intégrité du modèle de rôles.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Élévation de privilèges
• Atteinte à l'intégrité des données
Exploitation
CWE-863 : Incorrect Authorization
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Élevée
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• IdentityIQ 8.5 et tous les niveaux de patch 8.5 avant 8.5p2,
• IdentityIQ 8.4 et tous les niveaux de patch 8.4 avant 8.4p4,
• IdentityIQ 8.3 et tous les niveaux de patch 8.3 avant 8.3p5,
• Toutes les versions précédentes sont affectées.
Solutions ou recommandations
• IdentityIQ version 8.4p4,
• IdentityIQ version 8.3p5.