Platform
siemens
Component
mendix-applications
Opgelost in
V10.11.0
V10.6.9
V9.24.22
CVE-2024-33500 is een kwetsbaarheid in Mendix Applications die het mogelijk maakt voor gebruikers met beheermogelijkheden om de toegangsprivileges van andere gebruikers te verhogen. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige gegevens en functionaliteit. De kwetsbaarheid treft Mendix Applications versies 9.3.0 t/m 10.11.0, inclusief specifieke subversies zoals V10.6. Een upgrade naar versie V10.11.0 is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van CVE-2024-33500 stelt een aanvaller in staat om de toegangsprivileges van gebruikers binnen een Mendix applicatie te verhogen. Dit kan gebeuren door de ID van een rol te raden die verhoogde rechten toekent. De impact hiervan kan aanzienlijk zijn, aangezien een aanvaller toegang kan krijgen tot gevoelige data, kritieke functionaliteit kan manipuleren en mogelijk de controle over de applicatie kan overnemen. De kwetsbaarheid is vooral zorgwekkend in omgevingen waar rol-gebaseerde toegangscontrole cruciaal is voor de beveiliging. Het raden van de rol-ID vereist geen complexe technieken, wat de exploitatie relatief eenvoudig maakt.
Op dit moment zijn er geen publieke exploits bekend voor CVE-2024-33500. De kwetsbaarheid is op 11 juni 2024 openbaar gemaakt. Er is geen vermelding op CISA KEV. De vereiste om de rol-ID te raden, maakt de exploitatie minder direct, maar de potentiële impact is aanzienlijk. Het is belangrijk om de applicatie te monitoren op verdachte activiteiten.
Organizations deploying Mendix Applications within versions 9.3.0–V10.11.0, V10.6 (all < V10.6.9), and V9 (all >= V9.3.0 < V9.24.22) are at risk. Specifically, environments with loosely defined role management policies or those where multiple users have the ability to modify role assignments are particularly vulnerable. Shared hosting environments utilizing Mendix Applications should also be assessed.
disclosure
Exploit Status
EPSS
0.19% (41% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2024-33500 is het upgraden van Mendix Applications naar versie V10.11.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van beheerdersaccounts en het implementeren van strengere authenticatiemaatregelen. Controleer de roltoewijzingen en zorg ervoor dat gebruikers alleen de minimale benodigde rechten hebben. Het is aan te raden om de rol-ID's te obfuscaten of te wijzigen om het raden te bemoeilijken. Na de upgrade, verifieer de correcte werking van de rol-gebaseerde toegangscontrole door te testen of gebruikers alleen toegang hebben tot de resources waarvoor ze geautoriseerd zijn.
Actualice Mendix Applications a la versión 10.11.0 o superior, o a la versión 10.6.9 o superior si está utilizando la versión 10.6, o a la versión 9.24.22 o superior si está utilizando la versión 9. Esto corrige la vulnerabilidad de elevación de privilegios. Consulte el aviso de seguridad de Siemens para obtener más detalles.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-33500 is a medium-severity vulnerability in Mendix Applications allowing users to elevate other users’ access rights by guessing role IDs. It affects versions 9.3.0–V10.11.0, V10.6 (all < V10.6.9), and V9 (all >= V9.3.0 < V9.24.22).
If you are using Mendix Applications versions 9.3.0–V10.11.0, V10.6 (all < V10.6.9), or V9 (all >= V9.3.0 < V9.24.22), you are potentially affected and should upgrade immediately.
Upgrade Mendix Applications to version 10.11.0 or later to resolve this vulnerability. Implement stricter role management controls as an interim measure.
Currently, there are no confirmed reports of active exploitation, but the potential impact warrants proactive mitigation.
Refer to the official Mendix security advisory for detailed information and updates: [https://www.mendix.com/security-advisories/](https://www.mendix.com/security-advisories/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.