12月3日科技新闻网站The?Register报导指出，资安业者SailPoint旗下的身分验证管理（IAM）系统IdentityIQ当中，存在CVSS资安风险达到10分（满分10分）的资料夹穿越漏洞CVE-2024-10905，并指出他们虽然看到美国国家漏洞资料库（NVD）週一公布这项漏洞，却没有看到SailPoint发布相关公告，仅能得知该漏洞的类型为不当处理识别虚拟资源的文件名称（CWE-66）。对此，我们透过公关公司向SailPoint询问此事。

SailPoint资安长Rex Booth表示，他们已在12月2日发布资安公告，并将这项漏洞登记为CVE-2024-10905列管，并发布修补程序8.4p2、8.3p5、8.2p8版予以修补。

这项漏洞起因是IdentityIQ的存取控制不当，攻击者有机会在未经授权的情况下，透过HTTP连线存取应用程序资料夹当中，原本应该受到保护的静态内容。资安新闻网站Cybersecurity News指出，这些静态内容包含敏感的配置文件、应用程序的程序码，甚至还有使用者的资料。

附带一提的是，SailPoint提及这项漏洞也可能影响已终止支援的旧版，呼吁IT人员应儘速套用相关更新因应。