Ping Identity 公司披露了其 PingAM Java 代理程序中存在的一个严重安全漏洞，该代理程序是其身份与访问管理（IAM）平台的关键组件。这一漏洞被认定为 CVE-2025-20059，属于相对路径遍历问题，攻击者可能借此绕过策略执行机制，对受保护资源进行未经授权的访问。

根据官方安全公告，该漏洞影响 PingAM Java 代理程序的所有受支持版本，具体如下：

（1）2024.9 及更早版本

（2）2023.11.1 及更早版本

（3）5.10.3 及更早版本

Ping Identity 公司还警告称，更早的不受支持版本也可能存在漏洞。鉴于该漏洞的严重程度（通用漏洞评分系统第 4 版（CVSSv4）评分为 9.2），使用受影响版本的机构被敦促立即采取措施降低风险。

Ping Identity 公司针对 PingAM Java 代理程序 2024.9 版本提供了一个即时缓解措施。管理员可以在 AgentBootstrap.properties 文件中应用以下配置：

org.forgerock.agents.raw.url.path.invalidation.regex.list=;

这一修改会强制代理程序拒绝任何路径中包含分号（;）的传入 URL，并返回 HTTP 400 错误。不过，公告指出，这种方法不适用于需要路径中包含分号的环境。

彻底的解决方案是升级到已打补丁的版本：

（1）PingAM Java 代理程序 2024.11 版本

（2）PingAM Java 代理程序 2023.11.2 版本

（3）PingAM Java 代理程序 5.10.4 版本

Ping Identity 公司的 PingAM 是保障企业数字资产访问安全的关键组件。一个能够绕过策略执行的漏洞可能会导致未经授权的数据访问、权限提升以及潜在的数据泄露。使用 PingAM 的机构必须迅速采取行动降低风险，并升级到最新的安全版本。