在 Mendix 10 使用的 Mendix Applications 中已发现漏洞 (所有版本 < V10.11.0), 在 Mendix 10 使用的 Mendix Applications 中已发现漏洞 (V10.6) (所有版本 < V10.6.9), 在 Mendix 9 使用的 Mendix Applications 中已发现漏洞 (所有版本 >= V9.3.0 < V9.24.22)。受影响的应用可能允许具有管理角色能力的用户的提升该角色的用户访问权限。成功利用需要猜测包含提升访问权限的目标角色的 ID。

该漏洞的潜在影响是显著的。攻击者可以通过猜测目标角色的ID，提升其他用户的权限，从而获得对应用程序敏感数据的未经授权访问。这可能导致数据泄露、篡改，甚至完全控制应用程序。攻击者可以利用这些提升的权限执行恶意操作，例如修改用户数据、绕过安全控制，或进行横向移动以访问其他系统。由于该漏洞需要猜测角色ID，但一旦成功，影响范围可能相当广泛，尤其是在角色权限配置不当的情况下。

Organizations deploying Mendix Applications within versions 9.3.0–V10.11.0, V10.6 (all < V10.6.9), and V9 (all >= V9.3.0 < V9.24.22) are at risk. Specifically, environments with loosely defined role management policies or those where multiple users have the ability to modify role assignments are particularly vulnerable. Shared hosting environments utilizing Mendix Applications should also be assessed.

1. 2024-06-11Disclosure

   disclosure

1. 已保留2024-04-23
2. 发布日期2024-06-11
3. 修改日期2024-09-06
4. EPSS 更新日期2026-04-02

最有效的缓解措施是立即将Mendix Applications升级至V10.11.0版本或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，审查并强化角色权限配置，确保最小权限原则得到遵守。其次，实施严格的访问控制策略，限制用户对敏感角色的管理权限。第三，监控应用程序日志，寻找异常活动，例如未经授权的角色权限修改。虽然没有特定的WAF规则或检测签名，但加强身份验证和授权机制是关键。升级后，验证新版本是否已成功部署，并确认角色权限配置是否符合安全要求。