A PingAM Java Agent a Ping Identity1 hitelesítési és hozzáférés-kezelési megoldásainak részeként működő Java-alapú ügynök, amelyet széles körben alkalmaznak vállalati, pénzügyi és kormányzati rendszerek hozzáférés-kezelésére. A PingAM Java Agent képes integrálódni Apache Tomcat, IBM WebSphere, JBoss/WildFly és egyéb alkalmazásszerverekkel, biztosítva a központi azonosítási és jogosultságkezelési folyamatokat. Továbbá a Microsoft Azure és az OPSWAT integrációk révén a PingAM több szervezet identitáskezelési infrastruktúrájának elemét képezi.

A PingAM Java Agent újonnan felfedezett kritikus besorolású Relative Path Traversal (relatív könyvtárstruktúra bejárás) sérülékenysége (CVE-2025-20059) komoly veszélyt jelenthet az érintett rendszerekre, mivel lehetővé teszi nem hitelesített, távoli támadók számára, hogy speciálisan kialakított URL-ek segítségével hozzáférjenek a célrendszer fájlrendszeréhez. A támadók így érzékeny adatokat - konfigurációs fájlokat, hitelesítő adatokat és API-kulcsokat is megszerezhetnek, amelyeket aztán további támadási vektorok kialakítására használhatnak.

A probléma súlyát növeli, hogy a PingAM Java Agent kulcsszerepet játszik számos vállalat és intézmény identitáskezelési infrastruktúrájában, így a sérülékenység közvetlen hatással lehet kritikus szektorokra, mint a pénzügyi szolgáltatások, egészségügy, kormányzat és telekommunikáció. Az ellátási lánc biztonsága szempontjából is jelentős kockázatot jelenthet, mivel egyetlen kompromittált PingAM ügynökön keresztül több kapcsolódó alkalmazás és szolgáltatás is veszélybe kerülhet.

A sérülékenység CVSS v3.1 alapján 10-es, azaz kritikus besorolást kapott, ami szintén jelzi a probléma rendkívüli súlyosságát és azonnali beavatkozást igényel.