Vulnerabilidad en las aplicaciones de Mendix que usan Mendix 7, las aplicaciones de Mendix que usan Mendix 8 y las aplicaciones de Mendix que usan Mendix 9 (CVE-2022-24309)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
08/03/2022
Última modificación:
02/05/2025
Descripción
Se ha identificado una vulnerabilidad en las aplicaciones de Mendix que utilizan Mendix 7 (todas las versiones anteriores a V7.23.29), las aplicaciones de Mendix que utilizan Mendix 8 (todas las versiones anteriores a V8.18.16) y las aplicaciones de Mendix que utilizan Mendix 9 (todas las implementaciones con la configuración personalizada del tiempo de ejecución *DataStorage.UseNewQueryHandler* establecida en False). Si una entidad tiene una asociación legible por el usuario, en algunos casos, Mendix Runtime puede no aplicar las comprobaciones de las restricciones XPath que analizan dichas asociaciones, dentro de las aplicaciones que se ejecutan en las versiones afectadas. Un usuario malintencionado podría utilizar esto para volcar y manipular datos sensibles
Impacto
Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.90
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mendix:mendix:*:*:*:*:*:*:*:* | 7.23.29 (excluyendo) | |
| cpe:2.3:a:mendix:mendix:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.18.16 (excluyendo) |
| cpe:2.3:a:mendix:mendix:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.13 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página