CRITICAL🇬🇧 English

CVE-2026-7891

Błędna konfiguracja autoryzacji w Mendix Studio Pro — ujawnienie danych anonimowym użytkownikom

CVSS 9.3v4.0pub. 2026-05-07upd. 2026-05-08

Podatność w Mendix Studio Pro (do wersji 11.8.0 Beta włącznie) powoduje niezamierzone ujawnienie danych przechowywanych w aplikacji anonimowym użytkownikom wskutek błędnej konfiguracji autoryzacji. Mechanizm dziedziczenia uprawnień dla roli anonimowej nie jest jawnie opisany w dokumentacji, co prowadzi do nieświadomego nadania nadmiernych praw dostępu.

Pokaż oryginał (EN)

The VerySecureApp made by DIVD using Mendix Studio Pro 11.8.0 Beta allows unintended data exposure due to authorization misconfiguration. The VerySecureApp allows anonymous users of the MyFirstModule with the anonymous user role to gain access to all stored records, even though no access rights are explicitly configured on that role. Anonymous users are required to make a Mendix Entity available publicly. All versions of Mendix Studio Pro up to 11.8.0 Beta silently make an Anonymous user role follow user inheritance rules, without mentioning this explicitly in the documentation.

🤖 Analiza AI
Jak działa

Mendix Studio Pro dla roli anonimowego użytkownika (anonymous user role) stosuje mechanizm dziedziczenia uprawnień (user inheritance rules) bez wyraźnego poinformowania o tym deweloperów w dokumentacji. W efekcie anonimowi użytkownicy modułu MyFirstModule uzyskują dostęp do wszystkich rekordów przechowywanych w aplikacji, mimo że żadne uprawnienia nie zostały dla tej roli jawnie skonfigurowane. Podatność wymaga jedynie, aby encja Mendix była publicznie dostępna — co jest standardowym krokiem przy budowie aplikacji. Atakujący nieuwierzytelniony sieciowo może w ten sposób odczytać i modyfikować dane bez żadnych dodatkowych warunków wstępnych.

Skutki

Atakujący bez uwierzytelnienia może uzyskać nieautoryzowany dostęp do odczytu i modyfikacji wszystkich rekordów przechowywanych w aplikacji zbudowanej na podatnej wersji Mendix Studio Pro. Skutkuje to potencjalnym wyciekiem poufnych danych oraz możliwością ich nieuprawnionej zmiany.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://csirt.divd.nl/DIVD-2026-00006/ oraz https://www.divd.nl/mendix.html). Do czasu aktualizacji należy zweryfikować konfigurację uprawnień dla roli anonimowego użytkownika we wszystkich modułach aplikacji i jawnie ograniczyć dostęp do encji, aby anonimowi użytkownicy nie mogli przeglądać ani modyfikować danych.

Kogo dotyczy

Wszystkie wersje Mendix Studio Pro do 11.8.0 Beta włącznie — aplikacje budowane z modułem zawierającym publicznie dostępne encje i skonfigurowaną rolą anonimowego użytkownika.

Uwagi

Podatność została odkryta i zgłoszona przez zespół DIVD (Dutch Institute for Vulnerability Disclosure) z wykorzystaniem aplikacji testowej VerySecureApp zbudowanej w Mendix Studio Pro 11.8.0 Beta. Problem wynika z braku odpowiedniej dokumentacji zachowania mechanizmu dziedziczenia uprawnień dla roli anonimowej — jest to błąd projektowy (CWE-277: Insecure Inherited Permissions).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:A/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje