Plateforme
java
Composant
pingidentity-idm
Corrigé dans
7.2.3
7.3.2
7.4.2
7.5.1
7.1.1
CVE-2025-20628 represents an insufficient granularity of access control vulnerability within PingIDM (formerly ForgeRock Identity Management). This flaw allows attackers to potentially spoof a client-mode Remote Connector Server (RCS) to intercept or modify sensitive user properties, such as passwords and account recovery information. The vulnerability specifically impacts versions 7.2.0 through 7.5.0 of PingIDM, and requires an RCS to be configured in client mode for exploitation. No official patch is currently available.
La vulnérabilité CVE-2025-20628 dans PingIDM (anciennement ForgeRock Identity Management) réside dans une granularité insuffisante des contrôles d'accès. Les administrateurs ne peuvent pas configurer correctement les règles d'accès pour les Serveurs de Connecteur Distants (RCS) fonctionnant en mode client. Cela permet à un attaquant de usurper un RCS en mode client (si un tel RCS existe) afin d'intercepter et/ou de modifier des propriétés de sécurité pertinentes de l'identité, telles que les mots de passe et les informations de récupération de compte. L'impact potentiel est important, car la manipulation de ces informations peut entraîner un accès non autorisé aux comptes d'utilisateurs et compromettre la sécurité globale du système de gestion des identités.
Cette vulnérabilité n'est exploitable que si un RCS est configuré pour fonctionner en mode client. L'attaquant doit être capable de simuler ou d'usurper un RCS légitime pour intercepter ou modifier les données. La complexité de l'exploitation dépendra de la configuration spécifique de l'environnement PingIDM et des mesures de sécurité supplémentaires mises en œuvre. L'absence de correctif augmente la fenêtre d'opportunité de l'attaquant et souligne l'importance de mesures d'atténuation proactives.
Statut de l'Exploit
EPSS
0.05% (percentile 17%)
CISA SSVC
Actuellement, il n'existe pas de correctif (fix) officiel fourni par Ping pour cette vulnérabilité. L'atténuation principale consiste à désactiver le mode client pour les instances RCS où cela n'est pas absolument nécessaire. Il est fortement recommandé de revoir la configuration d'accès de tous les RCS et d'appliquer le principe du moindre privilège. Surveiller l'activité des RCS à la recherche d'un comportement anormal est crucial. Rester informé des avis de sécurité PingIDM et ForgeRock est essentiel pour recevoir des informations sur les solutions ou correctifs potentiels. Envisagez la segmentation du réseau pour isoler les RCS et limiter l'impact potentiel d'une exploitation réussie.
Actualice PingIDM a una versión corregida. Consulte la documentación de Ping Identity o las notas de la versión para obtener instrucciones específicas sobre cómo aplicar la corrección y mitigar el riesgo de interceptación o modificación de datos de identidad.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un Serveur de Connecteur Distant (RCS) en mode client est un composant de PingIDM qui se connecte à d'autres systèmes pour synchroniser les données d'identité. Le mode client implique que le RCS dépend d'un serveur central pour l'authentification et l'autorisation.
Examinez les configurations de votre RCS dans la console d'administration PingIDM. Recherchez les paramètres qui spécifient le mode de fonctionnement du RCS.
Cela signifie accorder aux utilisateurs et aux composants du système uniquement les autorisations nécessaires pour effectuer leurs tâches, minimisant ainsi la surface d'attaque.
Isolez immédiatement le système affecté du réseau, examinez les journaux d'audit à la recherche d'une activité suspecte et contactez le support PingIDM pour obtenir de l'aide.
Il n'y a actuellement pas de délai estimé pour un correctif. Surveillez les avis de sécurité PingIDM pour obtenir des mises à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.