Plateforme
siemens
Composant
mendix-applications
Corrigé dans
V10.11.0
V10.6.9
V9.24.22
Une vulnérabilité d'élévation de privilèges a été découverte dans Mendix Applications. Cette faille permet à un utilisateur disposant de la capacité de gérer un rôle d'augmenter les droits d'accès des utilisateurs associés à ce rôle. Les versions concernées sont Mendix 10 (versions antérieures à V10.11.0), Mendix 10 (V10.6) (versions antérieures à V10.6.9) et Mendix 9 (versions comprises entre V9.3.0 et V9.24.22). La mise à jour vers la version corrigée V10.11.0 est recommandée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'augmenter les droits d'accès d'utilisateurs au sein de l'application Mendix. Cela peut conduire à un accès non autorisé à des données sensibles, à la modification de configurations critiques, voire à la prise de contrôle complète de l'application. L'attaquant doit deviner l'ID du rôle cible possédant les droits d'accès à élever, ce qui peut être facilité par une mauvaise gestion des rôles ou des informations divulguées. Le risque est amplifié si l'application gère des données sensibles ou est intégrée à d'autres systèmes critiques.
Cette vulnérabilité n'a pas encore été ajoutée au KEV de CISA. L'EPSS score n'est pas disponible. Il n'existe pas de preuve de concept (PoC) publique connue à ce jour. La publication de la vulnérabilité a eu lieu le 2024-06-11, ce qui indique une divulgation récente et potentiellement un risque accru d'exploitation.
Organizations deploying Mendix Applications within versions 9.3.0–V10.11.0, V10.6 (all < V10.6.9), and V9 (all >= V9.3.0 < V9.24.22) are at risk. Specifically, environments with loosely defined role management policies or those where multiple users have the ability to modify role assignments are particularly vulnerable. Shared hosting environments utilizing Mendix Applications should also be assessed.
disclosure
Statut de l'Exploit
EPSS
0.19% (percentile 41%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour Mendix Applications vers la version corrigée V10.11.0. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à renforcer la gestion des rôles et des permissions au sein de l'application. Il est crucial de s'assurer que les ID des rôles ne sont pas facilement devinables et que les permissions sont attribuées avec le principe du moindre privilège. Envisagez de mettre en place des règles de pare-feu d'application web (WAF) pour bloquer les tentatives d'accès non autorisées aux rôles. Surveillez les journaux d'audit pour détecter toute activité suspecte liée à la gestion des rôles.
Actualice Mendix Applications a la versión 10.11.0 o superior, o a la versión 10.6.9 o superior si está utilizando la versión 10.6, o a la versión 9.24.22 o superior si está utilizando la versión 9. Esto corrige la vulnerabilidad de elevación de privilegios. Consulte el aviso de seguridad de Siemens para obtener más detalles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-33500 is a medium-severity vulnerability in Mendix Applications allowing users to elevate other users’ access rights by guessing role IDs. It affects versions 9.3.0–V10.11.0, V10.6 (all < V10.6.9), and V9 (all >= V9.3.0 < V9.24.22).
If you are using Mendix Applications versions 9.3.0–V10.11.0, V10.6 (all < V10.6.9), or V9 (all >= V9.3.0 < V9.24.22), you are potentially affected and should upgrade immediately.
Upgrade Mendix Applications to version 10.11.0 or later to resolve this vulnerability. Implement stricter role management controls as an interim measure.
Currently, there are no confirmed reports of active exploitation, but the potential impact warrants proactive mitigation.
Refer to the official Mendix security advisory for detailed information and updates: [https://www.mendix.com/security-advisories/](https://www.mendix.com/security-advisories/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.