Plataforma
siemens
Componente
mendix-applications
Corrigido em
V10.11.0
V10.6.9
V9.24.22
Uma vulnerabilidade de elevação de privilégios foi identificada nas Aplicações Mendix utilizando Mendix 10 (todas as versões anteriores a V10.11.0), Mendix Applications utilizando Mendix 10 (V10.6) (todas as versões anteriores a V10.6.9) e Mendix Applications utilizando Mendix 9 (todas as versões >= V9.3.0 < V9.24.22). Um atacante com capacidade de gerenciar uma role pode explorar essa falha para elevar os direitos de acesso de outros usuários, comprometendo a segurança da aplicação. A correção para esta vulnerabilidade está disponível na versão V10.11.0.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante, com acesso para gerenciar uma role, aumente os privilégios de outros usuários dentro da aplicação Mendix. Isso pode levar ao acesso não autorizado a dados sensíveis, modificação de configurações críticas e, potencialmente, controle total sobre a aplicação. O ataque requer que o atacante adivinhe o ID de uma role alvo que contenha os direitos de acesso elevados, o que pode ser facilitado por práticas de gerenciamento de roles inadequadas ou informações vazadas. A magnitude do impacto depende do nível de acesso concedido pela role elevada e da criticidade dos dados e funcionalidades acessíveis através dessa role.
Esta vulnerabilidade foi publicada em 2024-06-11. Não há informações disponíveis sobre a adição a KEV ou a existência de exploits públicos. A exploração depende da capacidade de adivinhar o ID da role alvo, o que pode limitar a probabilidade de exploração em ambientes bem configurados. A complexidade da exploração é considerada média.
Organizations deploying Mendix Applications within versions 9.3.0–V10.11.0, V10.6 (all < V10.6.9), and V9 (all >= V9.3.0 < V9.24.22) are at risk. Specifically, environments with loosely defined role management policies or those where multiple users have the ability to modify role assignments are particularly vulnerable. Shared hosting environments utilizing Mendix Applications should also be assessed.
disclosure
Status do Exploit
EPSS
0.19% (percentil 41%)
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar as Aplicações Mendix para a versão V10.11.0 ou superior. Se a atualização imediata não for possível, revise e restrinja o acesso para gerenciar roles, garantindo que apenas usuários autorizados tenham essa capacidade. Implemente políticas de senhas fortes e autenticação multifator para reduzir o risco de comprometimento de contas. Monitore logs de auditoria em busca de atividades suspeitas relacionadas ao gerenciamento de roles. Considere a implementação de regras em um Web Application Firewall (WAF) para detectar e bloquear tentativas de manipulação de roles, embora isso possa não ser uma solução completa.
Actualice Mendix Applications a la versión 10.11.0 o superior, o a la versión 10.6.9 o superior si está utilizando la versión 10.6, o a la versión 9.24.22 o superior si está utilizando la versión 9. Esto corrige la vulnerabilidad de elevación de privilegios. Consulte el aviso de seguridad de Siemens para obtener más detalles.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-33500 is a medium-severity vulnerability in Mendix Applications allowing users to elevate other users’ access rights by guessing role IDs. It affects versions 9.3.0–V10.11.0, V10.6 (all < V10.6.9), and V9 (all >= V9.3.0 < V9.24.22).
If you are using Mendix Applications versions 9.3.0–V10.11.0, V10.6 (all < V10.6.9), or V9 (all >= V9.3.0 < V9.24.22), you are potentially affected and should upgrade immediately.
Upgrade Mendix Applications to version 10.11.0 or later to resolve this vulnerability. Implement stricter role management controls as an interim measure.
Currently, there are no confirmed reports of active exploitation, but the potential impact warrants proactive mitigation.
Refer to the official Mendix security advisory for detailed information and updates: [https://www.mendix.com/security-advisories/](https://www.mendix.com/security-advisories/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.