Eviden发布安全公告，披露其身份与公钥基础设施解决方案IDPKI中发现的多个漏洞，包括CVE-2024-39327、CVE-2024-39328和CVE-2024-51505。这些漏洞可能导致未经授权的访问和权限提升，对使用该产品的组织构成风险。尽管不会暴露证书颁发机构的私钥，但可能破坏IDPKI管理环境的信任和完整性。Eviden已发布补丁，敦促客户尽快更新其IDPKI部署，并提供了缓解策略和临时解决方案。SaaS版本部分受影响，但部分漏洞不受影响。目前未发现实际攻击，但建议立即应用补丁并检测潜在的利用活动。

🚨 CVE-2024-39327漏洞（CVSS评分9.9）允许未经授权的CA签名，攻击者可能借此生成非法证书，对IDRA和IDRA SaaS产品构成威胁，修复版本为2.7.1。

🔑 CVE-2024-39328漏洞（CVSS评分6.8）使得配置管理员用户在多分区环境中能够超越其权限，可能导致机密数据泄露，仅影响IDCA产品，修复版本为2.7.0，IDCA SaaS不受影响。

⏱️ CVE-2024-51505漏洞（CVSS评分8.0）允许配置管理员用户利用竞争条件来提升他们的权限，同样只影响IDCA产品，修复版本为2.7.0，IDCA SaaS不受影响。

🛡️ Eviden已发布补丁修复这些漏洞，并强烈建议客户立即更新其IDPKI部署，同时提供了详细的缓解策略和临时解决方案，以帮助组织在更新期间保护系统。

Eviden，Atos旗下的一家企业，发布了一份安全公告，针对在其身份与公钥基础设施解决方案 IDPKI 中发现的多个漏洞进行说明。这些漏洞被追踪标识为 CVE – 2024 – 39327、CVE – 2024 – 39328 和 CVE – 2024 – 51505，可能会导致未经授权的访问和权限提升，给使用受影响产品的组织带来风险。虽然这些漏洞不会暴露证书颁发机构（CA）的私钥，但它们可能会让未经授权的操作破坏 IDPKI 管理环境中的信任和完整性。1.CVE – 2024 – 39327（通用漏洞评分系统（CVSS）评分为 9.9）允许未经授权的 CA 签名，攻击者有可能借此生成非法证书。2.CVE – 2024 – 39328（CVSS 评分为 6.8）使得配置管理员用户在多分区环境中能够超越其权限，这有可能导致机密数据泄露。3.CVE – 2024 – 51505（CVSS 评分为 8.0）允许配置管理员用户利用竞争条件来提升他们的权限。Eviden已发布补丁来修复这些漏洞，并敦促客户尽快更新其 IDPKI 部署。该公司还提供了详细的缓解策略和临时解决方案，以帮助组织在实施必要更新期间保护其系统。由于基于角色的限制，IDPKI 的软件即服务（SaaS）版本不受 CVE – 2024 – 39328 和 CVE – 2024 – 51505 的影响。产品是否受影响修复版本IDRA是2.7.1IDRA SaaS部分受影响（仅 CVE – 2024 – 39327）2.7.1IDCA是（仅 CVE – 2024 – 39328）2.7.0IDCA SaaS不受影响不适用 在发布公告之时，Eviden尚未观察到利用这些漏洞进行的实际攻击。Eviden敦促客户立即应用补丁，并使用检测脚本检查潜在的利用活动。