Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-00347: Уязвимость реализации модуля единого входа в приложения (SAML) программной платформы развертывания и проверки программных приложений Mendix, позволяющая нарушителю получить доступ к защищаемой информации

Основная информация
Подробнее

Описание уязвимости

Уязвимость реализации модуля единого входа в приложения (SAML) программной платформы развертывания и проверки программных приложений Mendix связана с недостаточной защитой структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к защищаемой информации

Вендор

Siemens AG

Наименование ПО

Mendix SAML

Версия ПО

от 2.3.0 до 2.3.4
от 3.3.0 до 3.3.9

Тип ПО

Сетевое средство, Сетевое программное средство

Операционные системы и аппаратные платформы

Данные уточняются

Тип ошибки

Непринятие мер по защите структуры веб-страницы (или \«Межсайтовая сценарная атака\»)

Идентификатор типа ошибки

CWE-79

Класс уязвимости

Уязвимость кода

Дата выявления

10.01.2023

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,3)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- включение механизма двухфактороной аутентификации;
- использование средств межсетевого экранирования;
- использование сторонних средств контроля доступа пользователей (VPN и др.) к программному продукту из общедоступных сетей (Интернет);
- использование систем обнаружения и предотвращения вторжений.

Использование рекомендаций:
https://cert-portal.siemens.com/productcert/pdf/ssa-496604.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Инъекция

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://cert-portal.siemens.com/productcert/pdf/ssa-496604.pdf

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2022-46823

Прочая информация

Данные уточняются

Последние изменения