【漏洞预警】关于Siemens Mendix SAML Module 安全漏洞的预警

一、产品描述

Siemens Mendix SAML Module是德国西门子（Siemens）公司的一个应用程序模块。用于根据最终用户在您的身份提供者中的身份授予对 Mendix 应用程序的访问权限。

二、漏洞技术细节

Siemens Mendix SAML Module 存在安全漏洞，该漏洞源于当启用非推荐和非默认选项“允许 Idp 发起的身份验证”时，受影响的版本不足以防止数据包捕获重播。

三、影响版本

mendix saml 3.3.0

mendix saml 3.3.1

mendix saml 2.3.0

mendix saml 1.0

mendix saml 1.1

mendix saml 1.1.1

mendix saml 1.1.2

mendix saml 1.2

mendix saml 1.3

mendix saml 1.5

mendix saml 1.6

mendix saml 1.6.1

mendix saml 1.7

mendix saml 1.8

mendix saml 1.8.1

mendix saml 1.8.2

mendix saml 1.8.3

mendix saml 1.8.4

mendix saml 1.9

mendix saml 1.9.1

mendix saml 1.9.2

mendix saml 1.9.3

mendix saml 1.9.4

mendix saml 1.9.5

mendix saml 1.10.0

mendix saml 1.10.1

mendix saml 1.10.2

mendix saml 1.10.3

mendix saml 1.10.4

mendix saml 1.11.0

mendix saml 1.12.0

mendix saml 1.12.1

mendix saml 1.13.0

mendix saml 1.15.2

mendix saml 1.15.3

mendix saml 1.15.4

mendix saml 1.15.5

mendix saml 1.16.0

mendix saml 1.16.1

mendix saml 1.16.2

mendix saml 1.16.3

mendix saml 1.16.4

mendix saml 1.16.5

mendix saml 1.16.6

mendix saml 1.16.7

四、受影响资产情况

通过fofa发现，全球7460个使用记录，其中第一名越南2114个，第二名意大利1177个，第三名中国672个。

五、修复建议

建议用户更新到最新版本的应用程序。

六、漏洞来源

https://www.cisa.gov/uscert/ics/advisories/icsa-22-258-04