CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-26317
https://notcve.org/view.php?id=CVE-2022-26317
A vulnerability has been identified in Mendix Applications using Mendix 7 (All versions < V7.23.29). When returning the result of a completed Microflow execution call the affected framework does not correctly verify, if the request was initially made by the user requesting the result. Together with predictable identifiers for Microflow execution calls, this could allow a malicious attacker to retrieve information about arbitrary Microflow execution calls made by users within the affected system. Se ha identificado una vulnerabilidad en las aplicaciones de Mendix usadas en Mendix 7 (Todas las versiones anteriores a V7.23.29). Cuando es devuelto el resultado de una llamada de ejecución de Microflow completada, el framework afectado no verifica correctamente, si la petición fue realizada inicialmente por el usuario que solicita el resultado. • https://cert-portal.siemens.com/productcert/pdf/ssa-415938.pdf • CWE-284: Improper Access Control CWE-330: Use of Insufficiently Random Values •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2022-26314
https://notcve.org/view.php?id=CVE-2022-26314
A vulnerability has been identified in Mendix Forgot Password Appstore module (All versions >= V3.3.0 < V3.5.1), Mendix Forgot Password Appstore module (Mendix 7 compatible) (All versions < V3.2.2). Initial passwords are generated in an insecure manner. This could allow an unauthenticated remote attacker to efficiently brute force passwords in specific situations. Se ha identificado una vulnerabilidad en el módulo Mendix Forgot Password Appstore (Todas las versiones posteriores a V3.3.0 incluyéndola, anteriores a V3.5.1), módulo Mendix Forgot Password Appstore (compatible con Mendix 7) (Todas las versiones anteriores a V3.2.2). Las contraseñas iniciales son generadas de forma no segura. • https://cert-portal.siemens.com/productcert/pdf/ssa-134279.pdf • CWE-307: Improper Restriction of Excessive Authentication Attempts •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-26313
https://notcve.org/view.php?id=CVE-2022-26313
A vulnerability has been identified in Mendix Forgot Password Appstore module (All versions >= V3.3.0 < V3.5.1). In certain configurations of the affected product, a threat actor could use the sign up flow to hijack arbitrary user accounts. Se ha identificado una vulnerabilidad en el módulo Mendix Forgot Password Appstore (Todas las versiones posteriores a V3.3.0 incluyéndola, anteriores a V3.5.1). En determinadas configuraciones del producto afectado, un actor de amenaza podría usar el flujo de registro para secuestrar cuentas de usuario arbitrarias • https://cert-portal.siemens.com/productcert/pdf/ssa-134279.pdf • CWE-284: Improper Access Control •
CVSS: 8.1EPSS: 0%CPEs: 3EXPL: 0CVE-2022-24309
https://notcve.org/view.php?id=CVE-2022-24309
A vulnerability has been identified in Mendix Applications using Mendix 7 (All versions < V7.23.29), Mendix Applications using Mendix 8 (All versions < V8.18.16), Mendix Applications using Mendix 9 (All versions < V9.13 only with Runtime Custom Setting *DataStorage.UseNewQueryHandler* set to False). If an entity has an association readable by the user, then in some cases, Mendix Runtime may not apply checks for XPath constraints that parse said associations, within apps running on affected versions. A malicious user could use this to dump and manipulate sensitive data. Se ha identificado una vulnerabilidad en las aplicaciones de Mendix que utilizan Mendix 7 (todas las versiones anteriores a V7.23.29), las aplicaciones de Mendix que utilizan Mendix 8 (todas las versiones anteriores a V8.18.16) y las aplicaciones de Mendix que utilizan Mendix 9 (todas las implementaciones con la configuración personalizada del tiempo de ejecución *DataStorage.UseNewQueryHandler* establecida en False). Si una entidad tiene una asociación legible por el usuario, en algunos casos, Mendix Runtime puede no aplicar las comprobaciones de las restricciones XPath que analizan dichas asociaciones, dentro de las aplicaciones que se ejecutan en las versiones afectadas. • https://cert-portal.siemens.com/productcert/html/ssa-148641.html https://cert-portal.siemens.com/productcert/pdf/ssa-148641.pdf • CWE-284: Improper Access Control •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2021-42026
https://notcve.org/view.php?id=CVE-2021-42026
A vulnerability has been identified in Mendix Applications using Mendix 8 (All versions < V8.18.13), Mendix Applications using Mendix 9 (All versions < V9.6.2). Applications built with affected versions of Mendix Studio Pro do not properly control read access for certain client actions. This could allow authenticated attackers to retrieve the changedDate attribute of arbitrary objects, even when they don't have read access to them. Se ha identificado una vulnerabilidad en las aplicaciones de Mendix que usan Mendix versión 8 (Todas las versiones anteriores a V8.18.13), aplicaciones de Mendix que usan Mendix versión 9 (Todas las versiones anteriores a V9.6.2). Las aplicaciones construidas con las versiones afectadas de Mendix Studio Pro no controlan apropiadamente el acceso de lectura para determinadas acciones del cliente. • https://cert-portal.siemens.com/productcert/pdf/ssa-779699.pdf • CWE-863: Incorrect Authorization •