Eviden，Atos旗下的一家企业，发布了一份安全公告，针对在其身份与公钥基础设施解决方案 IDPKI 中发现的多个漏洞进行说明。这些漏洞被追踪标识为 CVE – 2024 – 39327、CVE – 2024 – 39328 和 CVE – 2024 – 51505，可能会导致未经授权的访问和权限提升，给使用受影响产品的组织带来风险。

虽然这些漏洞不会暴露证书颁发机构（CA）的私钥，但它们可能会让未经授权的操作破坏 IDPKI 管理环境中的信任和完整性。

1.CVE – 2024 – 39327（通用漏洞评分系统（CVSS）评分为 9.9）允许未经授权的 CA 签名，攻击者有可能借此生成非法证书。

2.CVE – 2024 – 39328（CVSS 评分为 6.8）使得配置管理员用户在多分区环境中能够超越其权限，这有可能导致机密数据泄露。

3.CVE – 2024 – 51505（CVSS 评分为 8.0）允许配置管理员用户利用竞争条件来提升他们的权限。

Eviden已发布补丁来修复这些漏洞，并敦促客户尽快更新其 IDPKI 部署。该公司还提供了详细的缓解策略和临时解决方案，以帮助组织在实施必要更新期间保护其系统。由于基于角色的限制，IDPKI 的软件即服务（SaaS）版本不受 CVE – 2024 – 39328 和 CVE – 2024 – 51505 的影响。

产品
是否受影响
修复版本

IDRA
是
2.7.1

IDRA SaaS
部分受影响（仅 CVE – 2024 – 39327）
2.7.1

IDCA
是（仅 CVE – 2024 – 39328）
2.7.0

IDCA SaaS
不受影响
不适用

在发布公告之时，Eviden尚未观察到利用这些漏洞进行的实际攻击。Eviden敦促客户立即应用补丁，并使用检测脚本检查潜在的利用活动。

文章原文链接:https://www.anquanke.com/post/id/304644