Plataforma
siemens
Componente
mendix-applications
Corregido en
V10.11.0
V10.6.9
V9.24.22
Se ha identificado una vulnerabilidad de elevación de privilegios en Mendix Applications. Esta falla permite a usuarios con la capacidad de gestionar un rol, aumentar los derechos de acceso de otros usuarios dentro de la aplicación. La vulnerabilidad afecta a las aplicaciones Mendix que utilizan Mendix 10 (versiones anteriores a V10.11.0), Mendix 10 (V10.6, versiones anteriores a V10.6.9) y Mendix 9 (versiones entre V9.3.0 y V9.24.22). La solución es actualizar a la versión V10.11.0.
Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a datos sensibles o funcionalidades restringidas dentro de la aplicación Mendix. Al adivinar el ID de un rol específico que contenga privilegios elevados, el atacante podría modificar los permisos de otros usuarios, permitiéndoles realizar acciones que normalmente no estarían autorizadas. Esto podría resultar en la manipulación de datos, la ejecución de código malicioso o el compromiso completo de la aplicación. La severidad de este impacto depende de la sensibilidad de los datos y las funcionalidades accesibles a través de los roles afectados.
Actualmente, no se han reportado casos de explotación activa de esta vulnerabilidad. La vulnerabilidad fue publicada el 11 de junio de 2024. La necesidad de adivinar el ID del rol objetivo podría dificultar la explotación a gran escala, pero no la elimina por completo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de actividad maliciosa relacionada con esta vulnerabilidad.
Organizations deploying Mendix Applications within versions 9.3.0–V10.11.0, V10.6 (all < V10.6.9), and V9 (all >= V9.3.0 < V9.24.22) are at risk. Specifically, environments with loosely defined role management policies or those where multiple users have the ability to modify role assignments are particularly vulnerable. Shared hosting environments utilizing Mendix Applications should also be assessed.
disclosure
Estado del Exploit
EPSS
0.19% (41% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión corregida de Mendix Applications, V10.11.0. Si la actualización inmediata no es posible, se recomienda revisar cuidadosamente los permisos de los roles dentro de la aplicación y limitar el acceso a la gestión de roles a usuarios de confianza. Implementar controles de acceso más estrictos y auditorías regulares puede ayudar a detectar y prevenir intentos de explotación. Además, se recomienda monitorear los registros de la aplicación en busca de actividades sospechosas relacionadas con la gestión de roles. Después de la actualización, confirme que los permisos de los roles se han restablecido correctamente y que no existen usuarios con privilegios elevados inesperados.
Actualice Mendix Applications a la versión 10.11.0 o superior, o a la versión 10.6.9 o superior si está utilizando la versión 10.6, o a la versión 9.24.22 o superior si está utilizando la versión 9. Esto corrige la vulnerabilidad de elevación de privilegios. Consulte el aviso de seguridad de Siemens para obtener más detalles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-33500 is a medium-severity vulnerability in Mendix Applications allowing users to elevate other users’ access rights by guessing role IDs. It affects versions 9.3.0–V10.11.0, V10.6 (all < V10.6.9), and V9 (all >= V9.3.0 < V9.24.22).
If you are using Mendix Applications versions 9.3.0–V10.11.0, V10.6 (all < V10.6.9), or V9 (all >= V9.3.0 < V9.24.22), you are potentially affected and should upgrade immediately.
Upgrade Mendix Applications to version 10.11.0 or later to resolve this vulnerability. Implement stricter role management controls as an interim measure.
Currently, there are no confirmed reports of active exploitation, but the potential impact warrants proactive mitigation.
Refer to the official Mendix security advisory for detailed information and updates: [https://www.mendix.com/security-advisories/](https://www.mendix.com/security-advisories/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.