プラットフォーム
siemens
コンポーネント
mendix-applications
修正版
V10.11.0
V10.6.9
V9.24.22
CVE-2024-33500は、Mendix Applicationsにおいて、ロール管理権限を持つユーザーが、特定のロールIDを推測することで、他のユーザーのアクセス権を不正に昇格させられる脆弱性です。この脆弱性は、Mendix 9.3.0から10.11.0までのバージョン、およびMendix 10の6.0未満、Mendix 9の9.24.22未満のバージョンに影響を与えます。最新バージョンへのアップデートにより、この問題は解決されています。
この脆弱性を悪用されると、攻撃者はロールIDを推測することで、本来アクセス権限のない機密情報にアクセスしたり、システム設定を変更したりすることが可能になります。特に、管理者権限を持つロールのアクセス権を昇格させられた場合、システム全体への影響が及ぶ可能性があります。攻撃者は、不正なロール昇格を通じて、機密データの窃取、改ざん、またはシステムの破壊といった行為を実行する可能性があります。この脆弱性は、Mendixアプリケーションのセキュリティを著しく損なうリスクを孕んでいます。
この脆弱性は、2024年6月11日に公開されました。現時点では、公的に利用可能なPoC(Proof of Concept)は確認されていませんが、ロールIDの推測が比較的容易であるため、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。攻撃者は、Mendixアプリケーションの脆弱性をスキャンし、この脆弱性を悪用する可能性が考えられます。
Organizations deploying Mendix Applications within versions 9.3.0–V10.11.0, V10.6 (all < V10.6.9), and V9 (all >= V9.3.0 < V9.24.22) are at risk. Specifically, environments with loosely defined role management policies or those where multiple users have the ability to modify role assignments are particularly vulnerable. Shared hosting environments utilizing Mendix Applications should also be assessed.
disclosure
エクスプロイト状況
EPSS
0.19% (41% パーセンタイル)
CVSS ベクトル
この脆弱性への対応策として、まず、Mendix ApplicationsをV10.11.0以降のバージョンにアップデートすることを推奨します。アップデートが困難な場合は、ロールIDの推測を困難にするようなアクセス制御の強化を検討してください。例えば、ロールIDを予測不可能な値に変更したり、ロールIDの推測を防止するためのセキュリティ対策を実装したりすることが考えられます。また、WAF(Web Application Firewall)を導入し、不正なアクセス試行を検知・遮断することも有効です。アップデート後、アプリケーションのアクセス権限設定を再確認し、不要な権限が付与されていないか確認してください。
Actualice Mendix Applications a la versión 10.11.0 o superior, o a la versión 10.6.9 o superior si está utilizando la versión 10.6, o a la versión 9.24.22 o superior si está utilizando la versión 9. Esto corrige la vulnerabilidad de elevación de privilegios. Consulte el aviso de seguridad de Siemens para obtener más detalles.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-33500は、Mendix Applicationsにおいて、ロール管理権限を持つユーザーが他のユーザーのアクセス権を不正に昇格させられる脆弱性です。攻撃者はロールIDを推測することで、本来アクセス権限のない機密情報にアクセスできる可能性があります。
Mendix Applicationsのバージョンが9.3.0–V10.11.0、またはMendix 10の6.0未満、Mendix 9の9.24.22未満の場合は、影響を受けます。V10.11.0以降にアップデートすることで、この脆弱性は解消されます。
Mendix ApplicationsをV10.11.0以降の最新バージョンにアップデートしてください。アップデートが困難な場合は、ロールIDの推測を困難にするアクセス制御の強化を検討してください。
現時点では、公的に利用可能なPoCは確認されていませんが、悪用される可能性は否定できません。Mendixアプリケーションのセキュリティ監視を強化し、不審なアクセス試行を検知するようにしてください。
Mendixの公式アドバイザリは、Mendixのセキュリティ情報ページで確認できます。詳細な情報や対応策については、Mendixの公式ドキュメントを参照してください。