Informazioni sul CVE-2023-25957
N/A
CWE ID: CWE-303
Base Score (CVSS): N/A
CVE: CVE-2023-25957
Descrizione: A vulnerability has been identified in Mendix SAML (Mendix 7 compatible) (All versions >= V1.16.4 < V1.17.3), Mendix SAML (Mendix 8 compatible) (All versions >= V2.2.0 < V2.3.0), Mendix SAML (Mendix 9 latest compatible, New Track) (All versions >= V3.1.9 < V3.3.1), Mendix SAML (Mendix 9 latest compatible, Upgrade Track) (All versions >= V3.1.8 < V3.3.0), Mendix SAML (Mendix 9.6 compatible, New Track) (All versions >= V3.1.9 < V3.2.7), Mendix SAML (Mendix 9.6 compatible, Upgrade Track) (All versions >= V3.1.8 < V3.2.6). The affected versions of the module insufficiently verify the SAML assertions. This could allow unauthenticated remote attackers to bypass authentication and get access to the application. For compatibility reasons, fix versions still contain this issue, but only when the recommended, default configuration option `'Use Encryption'` is disabled.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N/E:P/RL:O/RC:C
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
| Exploit Code Maturity (E) | P | Proof-of-Concept | Esistono PoC. |
| Remediation Level (RL) | O | Official Fix | Patch ufficiale disponibile. |
| Report Confidence (RC) | C | Confirmed | Confermata ufficialmente. |
Riferimenti esterni
Prodotti interessati
- Siemens – Mendix SAML (Mendix 7 compatible)
- Siemens – Mendix SAML (Mendix 8 compatible)
- Siemens – Mendix SAML (Mendix 9 latest compatible, New Track)
- Siemens – Mendix SAML (Mendix 9 latest compatible, Upgrade Track)
- Siemens – Mendix SAML (Mendix 9.6 compatible, New Track)
- Siemens – Mendix SAML (Mendix 9.6 compatible, Upgrade Track)
Relazioni con altri prodotti
Produttore:Siemens
Prodotto: Mendix SAML (Mendix 7 compatible)
Anno: 2023
CWE: CWE-303
CVSS: 0.0
Produttore:Siemens
Prodotto: Mendix SAML (Mendix 8 compatible)
Anno: 2023
CWE: CWE-303
CVSS: 0.0
Produttore:Siemens
Prodotto: New Track)
Anno: 2023
CWE: CWE-303
CVSS: 0.0
Produttore:Siemens
Prodotto: Upgrade Track)
Anno: 2023
CWE: CWE-303
CVSS: 0.0
Produttore:Siemens
Prodotto: Mendix SAML (Mendix 9 latest compatible
Anno: 2023
CWE: CWE-303
CVSS: 0.0
Produttore:Siemens
Prodotto: Mendix SAML (Mendix 9.6 compatible
Anno: 2023
CWE: CWE-303
CVSS: 0.0