漏洞关键信息 漏洞名称 SailPoint IdentityIQ Incorrect Content Type Cross-Site Scripting Vulnerability - CVE-2025-10280 描述 IdentityIQ 8.5、IdentityIQ 8.4及所有8.4之前的补丁级别8.4p4、IdentityIQ 8.3及所有8.3的补丁级别8.3p6,以及所有以前的版本允许一些IdentityIQ网络服务提供非HTML内容可以通过设置Content-Type为HTML的URL路径进行访问,允许请求浏览器将未正确转义的内容解释为HTML,从而导致跨站脚本(XSS)漏洞。 受影响的产品和版本 IdentityIQ 8.5 IdentityIQ 8.4及其所有8.4之前的补丁级别8.4p4 IdentityIQ 8.3及其所有8.3之前的补丁级别8.3p6 所有以前版本的IdentityIQ 解决方案 SailPoint为每个受影响和受支持的IdentityIQ版本发布了IIQSR-940。未来补丁级别将在其可用时包含修复。 CVE细节 CVE ID: CVE-2025-10280 发布日期: 11/3/2025 漏洞类型: IdentityIQ 内容类型不正确跨站脚本漏洞 CWE: CWE-79 CVSS v3分数: 7.1 CVSS v3向量: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H 参考 IdentityIQ Incorrect Content Type Cross-Site Scripting Vulnerability – IIQSR-940