Platform
java
Component
pingidentity-idm
Opgelost in
7.2.3
7.3.2
7.4.2
7.5.1
7.1.1
CVE-2025-20628 represents an insufficient granularity of access control vulnerability within PingIDM (formerly ForgeRock Identity Management). This flaw allows attackers to potentially spoof a client-mode Remote Connector Server (RCS) to intercept or modify sensitive user properties, such as passwords and account recovery information. The vulnerability specifically impacts versions 7.2.0 through 7.5.0 of PingIDM, and requires an RCS to be configured in client mode for exploitation. No official patch is currently available.
De CVE-2025-20628-kwetsbaarheid in PingIDM (voorheen ForgeRock Identity Management) ligt in een ontoereikende granulariteit van toegangscontroles. Beheerders kunnen geen toegangsregels correct configureren voor Remote Connector Servers (RCS) die in clientmodus draaien. Dit stelt een aanvaller in staat om een RCS in clientmodus te vervalsen (indien er een bestaat) om beveiligingsrelevante eigenschappen van een identiteit te onderscheppen en/of te wijzigen, zoals wachtwoorden en account herstel informatie. De potentiële impact is aanzienlijk, aangezien manipulatie van deze informatie kan leiden tot ongeautoriseerde toegang tot gebruikersaccounts en de algehele beveiliging van het identity management systeem kan compromitteren.
Deze kwetsbaarheid is alleen uitbuitbaar wanneer een RCS is geconfigureerd om in clientmodus te draaien. De aanvaller moet in staat zijn om een legitieme RCS te simuleren of te imiteren om de gegevens te onderscheppen of te wijzigen. De complexiteit van de exploitatie zal afhangen van de specifieke configuratie van de PingIDM-omgeving en eventuele aanvullende beveiligingsmaatregelen die zijn geïmplementeerd. Het ontbreken van een fix vergroot de kans voor aanvallers en benadrukt het belang van proactieve mitigatiemaatregelen.
Exploit Status
EPSS
0.05% (17% percentiel)
CISA SSVC
Er is momenteel geen officiële fix beschikbaar van Ping voor deze kwetsbaarheid. De primaire mitigatie is om de clientmodus voor RCS-instanties uit te schakelen waar dit niet strikt noodzakelijk is. Het wordt ten zeerste aanbevolen om de toegangsconfiguratie van alle RCS te beoordelen en het principe van minimale privileges toe te passen. Het monitoren van RCS-activiteit op ongebruikelijk gedrag is cruciaal. Blijf op de hoogte van PingIDM en ForgeRock beveiligingsadviezen om informatie te ontvangen over mogelijke oplossingen of patches. Overweeg netwerksegmentatie om RCS te isoleren en de potentiële impact van een succesvolle exploitatie te beperken.
Actualice PingIDM a una versión corregida. Consulte la documentación de Ping Identity o las notas de la versión para obtener instrucciones específicas sobre cómo aplicar la corrección y mitigar el riesgo de interceptación o modificación de datos de identidad.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een Remote Connector Server (RCS) in clientmodus is een component van PingIDM die verbinding maakt met andere systemen om identiteitsgegevens te synchroniseren. Clientmodus betekent dat de RCS afhankelijk is van een centrale server voor authenticatie en autorisatie.
Bekijk de configuraties van uw RCS in de PingIDM-beheerconsole. Zoek naar instellingen die de operationele modus van de RCS specificeren.
Het betekent dat gebruikers en systeemcomponenten alleen de permissies worden verleend die nodig zijn om hun taken uit te voeren, waardoor de aanvalsoppervlakte wordt geminimaliseerd.
Isoleer het getroffen systeem onmiddellijk van het netwerk, bekijk de auditlogboeken op verdachte activiteiten en neem contact op met de PingIDM-ondersteuning voor hulp.
Er is momenteel geen geschatte tijdlijn voor een fix. Houd de beveiligingsadviezen van PingIDM in de gaten voor updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.