Platform
ibm
Component
verify-identity-access
Opgelost in
11.0.3
10.0.10
11.0.3
10.0.10
CVE-2026-1346 is a critical privilege escalation vulnerability discovered in IBM Verify Identity Access. This flaw allows a locally authenticated user to escalate their privileges to root, potentially granting them complete control over the system. The vulnerability impacts versions 10.0 through 11.0.2 of both the Container and non-Container deployments. IBM has released patches to address this issue.
CVE-2026-1346 treft IBM Verify Identity Access Container (versies 11.0 tot 11.0.2) en IBM Security Verify Access Container (versies 10.0 tot 10.0.9.1), evenals IBM Verify Identity Access (versies 11.0 tot 11.0.2) en IBM Security Verify Access (versies 10.0 tot 10.0.9.1). Het stelt een lokaal geauthenticeerde gebruiker in staat om zijn privileges te verhogen tot root-niveau, doordat processen worden uitgevoerd met onnodige privileges. Een aanvaller kan deze kwetsbaarheid misbruiken om de volledige controle over het getroffen systeem te verkrijgen, waardoor de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens en resources in gevaar komt.
Het exploiteren van deze kwetsbaarheid vereist dat een aanvaller geauthenticeerde toegang heeft tot het getroffen systeem. Aangezien de privilege-escalatie plaatsvindt door het uitvoeren met overmatige rechten, kan een aanvaller deze kwetsbaarheid misbruiken als hij code met verhoogde rechten kan uitvoeren. De potentiële impact is aanzienlijk, aangezien een aanvaller met root-rechten de volledige controle over het systeem kan overnemen. Het ontbreken van een beschikbare fix vergroot het risico, waardoor het cruciaal is om tijdelijke mitigatiemaatregelen te implementeren totdat een update wordt uitgebracht.
Organizations utilizing IBM Verify Identity Access in environments with local user authentication are at risk. This includes deployments with legacy configurations, shared hosting environments where multiple users have local access, and those relying on default or poorly configured access controls. Specifically, environments where local accounts have unnecessary privileges are particularly vulnerable.
• ibm / server:
# Check for vulnerable versions
grep -r '10.0\|11.0' /opt/IBM/VerifyIdentityAccess/bin/version.sh• linux / server:
# Audit user privileges and processes running with elevated permissions
sudo -u root ps aux | grep -i 'verifyidentityaccess'disclosure
Exploit Status
EPSS
0.01% (0% percentiel)
CISA SSVC
CVSS-vector
IBM heeft momenteel geen fix uitgebracht voor deze kwetsbaarheid. De aanbevolen mitigatie is om te upgraden naar een gepatchte versie zodra die beschikbaar is. In de tussentijd, pas het principe van minimale privileges toe: beperk de rechten van gebruikers en processen tot het minimum dat nodig is om hun taken uit te voeren. Het monitoren van systeemlogboeken op verdachte activiteiten kan ook helpen om potentiële aanvallen te detecteren en erop te reageren. Controleer bovendien de beveiligingsconfiguraties van containers en pas best practices toe om de algehele beveiligingshouding te versterken.
Aplique las actualizaciones de seguridad proporcionadas por IBM para IBM Verify Identity Access Container y IBM Security Verify Access Container a las versiones corregidas disponibles en el sitio de soporte de IBM. Consulte la nota de soporte de IBM (https://www.ibm.com/support/pages/node/7268253) para obtener instrucciones detalladas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Versies 11.0 tot 11.0.2 van IBM Verify Identity Access en IBM Security Verify Access worden getroffen.
Nee, IBM heeft geen fix uitgebracht voor deze kwetsbaarheid.
Pas het principe van minimale privileges toe, monitor systeemlogboeken en upgrade naar een gepatchte versie zodra die beschikbaar is.
Een aanvaller kan de volledige controle over het systeem verkrijgen, waardoor de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens in gevaar komt.
Raadpleeg de officiële IBM Security-bronnen voor updates en meer details over CVE-2026-1346.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.