Plataforma
java
Componente
pingidentity-idm
Corrigido em
7.2.3
7.3.2
7.4.2
7.5.1
7.1.1
CVE-2025-20628 represents an insufficient granularity of access control vulnerability within PingIDM (formerly ForgeRock Identity Management). This flaw allows attackers to potentially spoof a client-mode Remote Connector Server (RCS) to intercept or modify sensitive user properties, such as passwords and account recovery information. The vulnerability specifically impacts versions 7.2.0 through 7.5.0 of PingIDM, and requires an RCS to be configured in client mode for exploitation. No official patch is currently available.
A vulnerabilidade CVE-2025-20628 no PingIDM (anteriormente ForgeRock Identity Management) reside em uma granularidade insuficiente nos controles de acesso. Administradores não conseguem configurar adequadamente as regras de acesso para Servidores de Conector Remoto (RCS) operando em modo cliente. Isso permite que um atacante simule um RCS em modo cliente (se existir um) para interceptar e/ou modificar propriedades de segurança relevantes de uma identidade, como senhas e informações de recuperação de conta. O impacto potencial é significativo, pois a manipulação dessas informações pode levar ao acesso não autorizado a contas de usuário e comprometer a segurança geral do sistema de gerenciamento de identidades.
Esta vulnerabilidade é explorável apenas quando um RCS está configurado para operar em modo cliente. O atacante deve ser capaz de simular ou se passar por um RCS legítimo para interceptar ou modificar os dados. A complexidade da exploração dependerá da configuração específica do ambiente PingIDM e de quaisquer medidas de segurança adicionais implementadas. A ausência de uma correção aumenta a janela de oportunidade do atacante e sublinha a importância de medidas de mitigação proativas.
Status do Exploit
EPSS
0.05% (percentil 17%)
CISA SSVC
Atualmente, não há uma correção (fix) oficial fornecida pela Ping para esta vulnerabilidade. A principal mitigação é desativar o modo cliente para instâncias de RCS onde não seja absolutamente necessário. Recomenda-se fortemente revisar a configuração de acesso de todos os RCS e aplicar o princípio do menor privilégio. Monitorar a atividade do RCS em busca de comportamento anômalo é crucial. Manter-se atualizado com os avisos de segurança do PingIDM e ForgeRock é essencial para receber informações sobre possíveis soluções ou patches. Considere a segmentação de rede para isolar os RCS e limitar o impacto potencial de uma exploração bem-sucedida.
Actualice PingIDM a una versión corregida. Consulte la documentación de Ping Identity o las notas de la versión para obtener instrucciones específicas sobre cómo aplicar la corrección y mitigar el riesgo de interceptación o modificación de datos de identidad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um Servidor de Conector Remoto (RCS) em modo cliente é um componente do PingIDM que se conecta a outros sistemas para sincronizar dados de identidade. O modo cliente implica que o RCS depende de um servidor central para autenticação e autorização.
Revise as configurações do seu RCS dentro do console de administração do PingIDM. Procure configurações que especifiquem o modo de operação do RCS.
Significa conceder a usuários e componentes do sistema apenas as permissões necessárias para executar suas tarefas, minimizando a superfície de ataque.
Isole imediatamente o sistema afetado da rede, revise os logs de auditoria em busca de atividade suspeita e entre em contato com o suporte do PingIDM para obter assistência.
Atualmente, não há um prazo estimado para uma correção. Monitore os avisos de segurança do PingIDM para obter atualizações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.