प्लेटफ़ॉर्म
siemens
घटक
mendix-applications
में ठीक किया गया
V10.11.0
V10.6.9
V9.24.22
Mendix Applications में एक भेद्यता की पहचान की गई है, जो Mendix 10 (V10.11.0 से कम सभी संस्करण), Mendix Applications (V10.6) (V10.6.9 से कम सभी संस्करण) और Mendix 9 (V9.3.0 से V9.24.22 से कम सभी संस्करण) का उपयोग कर रही है। इस भेद्यता का फायदा उठाकर, एक हमलावर भूमिका प्रबंधन क्षमता वाले उपयोगकर्ता के माध्यम से अन्य उपयोगकर्ताओं के एक्सेस अधिकारों को बढ़ा सकता है। V10.11.0 में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावरों को भूमिका प्रबंधन क्षमताओं वाले उपयोगकर्ताओं के माध्यम से अन्य उपयोगकर्ताओं के एक्सेस अधिकारों को बढ़ाने की अनुमति देती है। सफल शोषण के लिए, हमलावर को एक लक्ष्य भूमिका की आईडी का अनुमान लगाना होगा जिसमें उन्नत एक्सेस अधिकार शामिल हैं। इससे संवेदनशील डेटा तक अनधिकृत पहुंच हो सकती है, सिस्टम कॉन्फ़िगरेशन में बदलाव हो सकते हैं, या अन्य दुर्भावनापूर्ण गतिविधियाँ की जा सकती हैं। यह भेद्यता उन संगठनों के लिए एक महत्वपूर्ण जोखिम पैदा करती है जो Mendix Applications का उपयोग करते हैं और जिनके पास कमजोर एक्सेस नियंत्रण हैं।
यह भेद्यता अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं हुई है, लेकिन इसकी गंभीरता और संभावित प्रभाव को देखते हुए, यह शोषण के लिए एक आकर्षक लक्ष्य हो सकता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक नहीं देखा गया है, लेकिन भेद्यता का विवरण सार्वजनिक रूप से उपलब्ध है, जो शोषण के विकास को प्रोत्साहित कर सकता है। CISA ने इस CVE को अपनी KEV सूची में शामिल नहीं किया है।
Organizations deploying Mendix Applications within versions 9.3.0–V10.11.0, V10.6 (all < V10.6.9), and V9 (all >= V9.3.0 < V9.24.22) are at risk. Specifically, environments with loosely defined role management policies or those where multiple users have the ability to modify role assignments are particularly vulnerable. Shared hosting environments utilizing Mendix Applications should also be assessed.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.19% (41% शतमक)
CVSS वेक्टर
CVE-2024-33500 के लिए प्राथमिक शमन उपाय Mendix Applications को संस्करण V10.11.0 या उच्चतर में अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो भूमिका प्रबंधन एक्सेस को सीमित करने के लिए अस्थायी उपाय लागू किए जा सकते हैं। भूमिकाओं को सावधानीपूर्वक प्रबंधित करें और केवल आवश्यक उपयोगकर्ताओं को ही भूमिका प्रबंधन क्षमता प्रदान करें। भूमिका आईडी अनुमान को रोकने के लिए अतिरिक्त सुरक्षा नियंत्रणों पर विचार करें। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, सिस्टम की जांच करें।
Actualice Mendix Applications a la versión 10.11.0 o superior, o a la versión 10.6.9 o superior si está utilizando la versión 10.6, o a la versión 9.24.22 o superior si está utilizando la versión 9. Esto corrige la vulnerabilidad de elevación de privilegios. Consulte el aviso de seguridad de Siemens para obtener más detalles.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-33500 Mendix Applications में एक भेद्यता है जो हमलावरों को भूमिका प्रबंधन क्षमता वाले उपयोगकर्ता के माध्यम से अन्य उपयोगकर्ताओं के एक्सेस अधिकारों को बढ़ाने की अनुमति देती है।
यदि आप Mendix Applications के संस्करण 9.3.0–V10.11.0 का उपयोग कर रहे हैं, तो आप प्रभावित हैं। V10.11.0 या उच्चतर में अपडेट करें।
CVE-2024-33500 को ठीक करने के लिए, Mendix Applications को संस्करण V10.11.0 या उच्चतर में अपडेट करें।
CVE-2024-33500 के सक्रिय शोषण की अभी तक पुष्टि नहीं हुई है, लेकिन इसकी गंभीरता को देखते हुए, यह शोषण के लिए एक आकर्षक लक्ष्य हो सकता है।
आप CVE-2024-33500 के लिए आधिकारिक Mendix Advisory Mendix वेबसाइट पर पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।