Vulnerabilidad en Mendix SAML (CVE-2025-40758)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

14/08/2025

Última modificación:

15/08/2025

Descripción

Se ha identificado una vulnerabilidad en Mendix SAML (compatible con Mendix 10.12) (todas las versiones anteriores a la V4.0.3), Mendix SAML (compatible con Mendix 10.21) (todas las versiones anteriores a la V4.1.2) y Mendix SAML (compatible con Mendix 9.24) (todas las versiones anteriores a la V3.6.21). Las versiones afectadas del módulo no aplican correctamente la validación de firmas ni las comprobaciones de vinculación. Esto podría permitir que atacantes remotos no autenticados secuestren una cuenta en configuraciones de SSO específicas.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.70 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

8.70

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://cert-portal.siemens.com/productcert/html/ssa-395458.html