| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
Zusammenfassung
In Siemens Mendix Studio Pro 10, Mendix Studio Pro 10.12, Mendix Studio Pro 10.18, Mendix Studio Pro 10.6, Mendix Studio Pro 11, Mendix Studio Pro 8 and Mendix Studio Pro 9 wurde eine kritische Schwachstelle entdeckt. Betroffen ist eine unbekannte Verarbeitung. Die Manipulation führt zu Directory Traversal. Diese Schwachstelle trägt die Bezeichnung CVE-2025-40592. Es ist möglich, den Angriff aus der Ferne durchzuführen. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Es wurde eine kritische Schwachstelle in Siemens Mendix Studio Pro 10, Mendix Studio Pro 10.12, Mendix Studio Pro 10.18, Mendix Studio Pro 10.6, Mendix Studio Pro 11, Mendix Studio Pro 8 sowie Mendix Studio Pro 9 ausgemacht. Dabei betrifft es ein unbekannter Prozess. Dank der Manipulation mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-22 vorgenommen. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
A vulnerability has been identified in Mendix Studio Pro 10 (All versions < V10.23.0), Mendix Studio Pro 10.12 (All versions < V10.12.17), Mendix Studio Pro 10.18 (All versions < V10.18.7), Mendix Studio Pro 10.6 (All versions < V10.6.24), Mendix Studio Pro 11 (All versions), Mendix Studio Pro 8 (All versions < V8.18.35), Mendix Studio Pro 9 (All versions < V9.24.35). A zip path traversal vulnerability exists in the module installation process of Studio Pro. By crafting a malicious module and distributing it via (for example) the Mendix Marketplace, an attacker could write or modify arbitrary files in directories outside a developer’s project directory upon module installation.Auf cert-portal.siemens.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 16.04.2025 unter CVE-2025-40592 geführt. Sie gilt als schwierig auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. Als Preis für einen Exploit ist zur Zeit ungefähr mit USD $0-$5k zu rechnen (Preisberechnung vom 08.07.2025). MITRE ATT&CK führt die Angriffstechnik T1006 für diese Schwachstelle.
Ein Upgrade vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von EUVD (EUVD-2025-18163) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Hersteller
Name
- Mendix Studio Pro 8
- Mendix Studio Pro 9
- Mendix Studio Pro 10
- Mendix Studio Pro 10.6
- Mendix Studio Pro 10.12
- Mendix Studio Pro 10.18
- Mendix Studio Pro 11
Lizenz
Webseite
- Hersteller: https://www.siemens.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔍
CNA CVSS-BT Score: 🔍
CNA Vector: 🔍
CVSSv3
VulDB Meta Base Score: 5.8VulDB Meta Temp Score: 5.7
VulDB Base Score: 5.6
VulDB Temp Score: 5.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 6.1
CNA Vector (siemens): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Directory TraversalCWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Timeline
16.04.2025 🔍12.06.2025 🔍
12.06.2025 🔍
08.07.2025 🔍
Quellen
Hersteller: siemens.comAdvisory: ssa-627195
Status: Bestätigt
CVE: CVE-2025-40592 (🔍)
GCVE (CVE): GCVE-0-2025-40592
GCVE (VulDB): GCVE-100-312378
EUVD: 🔍
Eintrag
Erstellt: 12.06.2025 10:50Aktualisierung: 08.07.2025 14:39
Anpassungen: 12.06.2025 10:50 (74), 12.06.2025 11:42 (1), 08.07.2025 14:39 (1)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.