Siemens Mendix bis 7.23.18/8.6.8/8.12.4/9.0.4 User Role erweiterte Rechte

EintraganpassenHistoryDiffjsonxmlCTI
CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.3$0-$5k0.00

In Siemens Mendix bis 7.23.18/8.6.8/8.12.4/9.0.4 wurde eine kritische Schwachstelle entdeckt. Das betrifft eine unbekannte Funktionalität der Komponente User Role Handler. Durch Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-269. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

A vulnerability has been identified in Mendix Applications using Mendix 7 (All versions < V7.23.19), Mendix Applications using Mendix 8 (All versions < V8.17.0), Mendix Applications using Mendix 8 (V8.12) (All versions < V8.12.5), Mendix Applications using Mendix 8 (V8.6) (All versions < V8.6.9), Mendix Applications using Mendix 9 (All versions < V9.0.5). Authenticated, non-administrative users could modify their privileges by manipulating the user role under certain circumstances, allowing them to gain administrative privileges.

Die Schwachstelle wurde am 17.04.2021 als ssa-875726 öffentlich gemacht. Bereitgestellt wird das Advisory unter cert-portal.siemens.com. Die Verwundbarkeit wird seit dem 18.02.2021 als CVE-2021-27394 geführt. Sie ist leicht ausnutzbar. Der Angriff kann im lokalen Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten (Preisberechnung vom 21.04.2021).

Ein Aktualisieren auf die Version 7.23.19, 8.6.9, 8.12.5, 8.17.0 oder 9.0.5 vermag dieses Problem zu lösen.

Produktinfoanpassen

Hersteller

Name

CPE 2.3infoanpassen

CPE 2.2infoanpassen

CVSSv3infoanpassen

VulDB Meta Base Score: 5.5
VulDB Meta Temp Score: 5.3

VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv2infoanpassen

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfoanpassen

Klasse: Erweiterte Rechte
CWE: CWE-269
ATT&CK: Unbekannt

Lokal: Nein
Remote: Teilweise

Verfügbarkeit: 🔒
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfoanpassen

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoanpassen

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: Mendix 7.23.19/8.6.9/8.12.5/8.17.0/9.0.5

Timelineinfoanpassen

18.02.2021 CVE zugewiesen
17.04.2021 +57 Tage Advisory veröffentlicht
17.04.2021 +0 Tage VulDB Eintrag erstellt
21.04.2021 +4 Tage VulDB letzte Aktualisierung

Quelleninfoanpassen

Hersteller: https://www.siemens.com/

Advisory: ssa-875726
Status: Nicht definiert

CVE: CVE-2021-27394 (🔒)

Eintraginfoanpassen

Erstellt: 17.04.2021 09:11
Aktualisierung: 21.04.2021 19:36
Anpassungen: (5) source_cve_assigned source_cve_nvd_summary vulnerability_cvss2_vuldb_tempscore vulnerability_cvss3_vuldb_tempscore vulnerability_cvss3_meta_tempscore
Komplett: 🔍

Kommentare

Do you know our Splunk app?

Download it now for free!