Mendix
Уязвимости
13
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.01257
Распределение по критичности
Критический
0
Высокий
5
Средний
8
Низкий
0
Затронутые диапазоны версий
7.0.0–7.23.277.0.0–7.32.317.0.0–9.11.07.0.2–7.23.348.0.0–8.18.138.0.0–9.24.298.6.0–8.6.99.11.0–9.15.0< 7.23.26< 7.23.29≤ 7.23.5
Также сопоставлено как (исходные строки): mendix
Топ уязвимостей
CVE-2021-27394В Mendix Applications, использующих Mendix 7 (все версии < V7.23.19), Mendix Applications, использующих Mendix 8 (все версии < V8.17.0), Mendix Applications, использующих Mendix 8 (V8.12) (все версии < V8.12.5), Mendix Applications, использующих Mendix 8 (V8.6) (все версии < V8.6.9), Mendix Applications, использующих Mendix 9 (все версии < V9.0.5), обнаружена уязвимость. Прошедшие проверку подлинности пользователи, не являющиеся администраторами, могут изменять свои привилегии, манипулируя ролью пользователя при определенных обстоятельствах, что позволяет им получать административные привилегии.
CVE-2022-24309Выявлена уязвимость в Mendix Runtime V7 (Все версии < V7.23.29), Mendix Runtime V8 (Все версии < V8.18.16), Mendix Runtime V9 (Все версии < V9.13 только с пользовательской настройкой времени выполнения *DataStorage.UseNewQueryHandler*, установленной в False). Если у сущности есть ассоциация, доступная для чтения пользователем, то в некоторых случаях Mendix Runtime может не применять проверки ограничений XPath, которые анализируют указанные ассоциации, в приложениях, работающих в затронутых версиях. Злоумышленник может использовать это для дампа и манипулирования конфиденциальными данными.
CVE-2023-23835Выявлена уязвимость в приложениях Mendix, использующих Mendix 7 (все версии < V7.23.34), приложениях Mendix, использующих Mendix 8 (все версии < V8.18.23), приложениях Mendix, использующих Mendix 9 (все версии < V9.22.0), приложениях Mendix, использующих Mendix 9 (V9.12) (все версии < V9.12.10), приложениях Mendix, использующих Mendix 9 (V9.18) (все версии < V9.18.4), приложениях Mendix, использующих Mendix 9 (V9.6) (все версии < V9.6.15). Некоторые API среды выполнения Mendix позволяют злоумышленникам обходить ограничения XPath и получать информацию с помощью запросов XPath, которые вызывают ошибки.
CVE-2022-31257Была выявлена уязвимость в приложениях Mendix, использующих Mendix 7 (все версии < V7.23.31), приложениях Mendix, использующих Mendix 8 (все версии < V8.18.18), приложениях Mendix, использующих Mendix 9 (все версии < V9.14.0), приложениях Mendix, использующих Mendix 9 (V9.12) (все версии < V9.12.2), приложениях Mendix, использующих Mendix 9 (V9.6) (все версии < V9.6.12). В случае доступа к активному сеансу пользователя в приложении, созданном с использованием затронутой версии, можно изменить пароль этого пользователя, минуя проверки пароля в приложении Mendix. Это может позволить установить слабые пароли.
CVE-2022-27241Была выявлена уязвимость в приложениях Mendix, использующих Mendix 7 (все версии < V7.23.31), приложениях Mendix, использующих Mendix 8 (все версии < V8.18.18), приложениях Mendix, использующих Mendix 9 (все версии < V9.11), приложениях Mendix, использующих Mendix 9 (V9.6) (все версии < V9.6.12). Приложения, созданные с помощью уязвимой системы, публично раскрывают внутреннюю структуру проекта. Это может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, прочитать конфиденциальную информацию.
CVE-2024-50313В реализациях Mendix Runtime V10 (все версии до V10.16.0), Mendix Runtime V10.12 (все версии до V10.12.7), Mendix Runtime V10.6 (все версии до V10.6.15), Mendix Runtime V8 (все версии), Mendix Runtime V9 (все версии до V9.24.29) обнаружена уязвимость состояния гонки, связанная с использованием базовой аутентификации. Это может позволить неавторизованным злоумышленникам обойти стандартные меры блокировки учетных записей [1].
Источники:
- [1] https://cert-portal.siemens.com/productcert/html/ssa-914892.html
CVE-2022-34466Была выявлена уязвимость в Mendix Applications, использующих Mendix 9 (все версии >= V9.11 < V9.15), Mendix Applications, использующих Mendix 9 (V9.12) (все версии < V9.12.3). В подсистеме Workflow Mendix Runtime была обнаружена уязвимость внедрения выражений, которая может повлиять на запущенные приложения. Уязвимость может позволить злоумышленнику раскрыть конфиденциальную информацию в определенной конфигурации.
CVE-2022-26317Была выявлена уязвимость в приложениях Mendix, использующих Mendix 7 (все версии < V7.23.29). При возврате результата завершенного вызова выполнения Microflow затронутая платформа неправильно проверяет, был ли запрос изначально сделан пользователем, запрашивающим результат. Вместе с предсказуемыми идентификаторами для вызовов выполнения Microflow это может позволить злоумышленнику получить информацию о произвольных вызовах выполнения Microflow, сделанных пользователями в затронутой системе.
CVE-2022-25650Была выявлена уязвимость в приложениях Mendix, использующих Mendix 7 (все версии < V7.23.27), приложениях Mendix, использующих Mendix 8 (все версии < V8.18.14), приложениях Mendix, использующих Mendix 9 (все версии < V9.12.0), приложениях Mendix, использующих Mendix 9 (V9.6) (все версии < V9.6.3). При запросе к базе данных можно сортировать результаты, используя защищенное поле. С помощью этого аутентифицированный злоумышленник может извлечь информацию о содержимом защищенного поля.
CVE-2021-42025В приложениях Mendix, использующих Mendix 8 (все версии < V8.18.13), приложениях Mendix, использующих Mendix 9 (все версии < V9.6.2), обнаружена уязвимость. Приложения, созданные с использованием уязвимых версий Mendix Studio Pro, неправильно контролируют доступ на запись для определенных действий клиента. Это может позволить аутентифицированным злоумышленникам манипулировать содержимым объектов System.FileDocument в некоторых случаях, независимо от того, есть ли у них доступ на запись к нему.
CVE-2021-42015Уязвимость была выявлена в приложениях Mendix, использующих Mendix 7 (все версии < V7.23.26), приложениях Mendix, использующих Mendix 8 (все версии < V8.18.12), приложениях Mendix, использующих Mendix 9 (все версии < V9.6.1). Приложения, созданные с использованием уязвимых версий Mendix Studio Pro, не предотвращают кэширование файлов документов при открытии или загрузке файлов с помощью браузера. Это может позволить локальному злоумышленнику читать эти документы, изучая кэш браузера.
CVE-2019-12996В Mendix 7.23.5 и более ранних версиях проблема в сопоставлениях импорта XML позволяет использовать объявления DOCTYPE в XML-вводе, что потенциально небезопасно.
CVE-2021-42026В приложениях Mendix, использующих Mendix 8 (все версии < V8.18.13), приложениях Mendix, использующих Mendix 9 (все версии < V9.6.2), обнаружена уязвимость. Приложения, созданные с использованием уязвимых версий Mendix Studio Pro, неправильно контролируют доступ на чтение для определенных действий клиента. Это может позволить аутентифицированным злоумышленникам получить атрибут changedDate произвольных объектов, даже если у них нет доступа на чтение к ним.