CVE-2026-7891
KrytyczneStreszczenie
Aplikacja VerySecureApp stworzona przez DIVD przy użyciu Mendix Studio Pro 11.8.0 Beta umożliwia niezamierzone ujawnienie danych z powodu błędnej konfiguracji autoryzacji. Użytkownicy anonimowi w module MyFirstModule mogą uzyskać dostęp do wszystkich zapisanych rekordów, mimo że nie przypisano im wyraźnych praw dostępu.
Ocena ryzyka
Organizacja narażona jest na ryzyko ujawnienia wrażliwych danych, ponieważ użytkownicy anonimowi mogą uzyskać dostęp do wszystkich zapisów w aplikacji. To może prowadzić do naruszenia prywatności i zgodności z regulacjami ochrony danych.
Rekomendacja
Zaleca się przegląd i poprawę konfiguracji autoryzacji w aplikacji, aby ograniczyć dostęp anonimowych użytkowników do danych. Należy również zaktualizować Mendix Studio Pro do najnowszej wersji, aby skorzystać z poprawek bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
The VerySecureApp made by DIVD using Mendix Studio Pro 11.8.0 Beta allows unintended data exposure due to authorization misconfiguration. The VerySecureApp allows anonymous users of the MyFirstModule with the anonymous user role to gain access to all stored records, even though no access rights are explicitly configured on that role. Anonymous users are required to make a Mendix Entity available publicly. All versions of Mendix Studio Pro up to 11.8.0 Beta silently make an Anonymous user role follow user inheritance rules, without mentioning this explicitly in the documentation.

