关键信息总结 漏洞概述 漏洞编号: CVE-2024-33500 漏洞标题: SSA-540640: Mendix Runtime 中的权限管理漏洞 发布日期: 2024-06-11 当前版本: V1.0 CVSS 评级: - v3.1 Base Score: 5.9 - v4.0 Base Score: 7.4 影响的产品和版本 受影响的产品和版本: - Mendix Applications 使用 Mendix 9: V9.3.0 <= 版本 < V9.24.22 - Mendix Applications 使用 Mendix 10: 版本 < V10.11.0 修复建议: 更新到推荐的版本或后续版本,具体见相关链接 缓解措施和安全建议 工作原理和缓解措施: 将运行时设置 设为 ,但会降低引用检查的安全性 通用安全建议: 采取网络访问控制,按照西门子工业安全指南配置环境 漏洞描述 漏洞详情: 由于权限管理不当,受影响的应用程序可能允许具有管理角色能力的用户提升其他用户的权限。成功利用需要猜测包含提升权限的角色的ID。 CVSS 评级详情: - v3.1 向量: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N - v4.0 向量: CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N CWE 编号: CWE-269: 不当权限管理 致谢 感谢 Achmea Security Assessment Team 报告此漏洞