CVE-2026-7891: DIVD VerySecureApp 泄露所有记录给匿名用户

CVE-2026-7891: DIVD VerySecureApp 泄露所有记录给匿名用户

执行摘要

CVE-2026-7891描述了VerySecureApp中的一个授权绕过漏洞，这是一个由荷兰漏洞披露研究所（DIVD）使用Mendix Studio Pro 11.8.0 Beta开发的演示应用程序。该漏洞允许任何默认MyFirstModule的匿名用户检索所有存储的记录，尽管没有显式授予匿名用户角色访问权限。DIVD通过他们的咨询报告DIVD-2026-00006披露了这个问题，发布日期为2026-05-08。截至发布时，尚未分配CVSS评分。

技术分析

根据DIVD的CSIRT发布的咨询报告，VerySecureApp是使用Mendix Studio Pro版本11.8.0 Beta构建的。应用程序的默认配置包括MyFirstModule模块的匿名用户角色。关键的是，该角色没有显式配置访问权限——意味着没有分配读取、写入或删除权限。然而，默认情况下，Mendix运行时授予匿名用户访问被标记为公开可用的实体，当没有为该角色显式定义访问规则时。

咨询报告指出：“VerySecureApp允许MyFirstModule的匿名用户角色访问所有存储的记录，即使没有为该角色显式配置访问权限。”这种行为与Mendix的访问控制模型一致，其中角色的空访问规则集可以被解释为“无限制”而不是“无访问”，这取决于实体的安全配置。

咨询报告中受影响的实体仅被描述为“Mendix实体”；没有披露具体的数据模式或字段名称。漏洞的触发仅仅是通过导航到应用程序的公共端点而无需任何身份验证。除了以未经身份验证的用户身份访问应用程序之外，不需要特殊的HTTP头、令牌或利用步骤。

DIVD指出，VerySecureApp是一个演示项目，而不是生产系统。然而，底层的配置错误模式——未能显式拒绝匿名角色对应该私有的实体的访问——是低代码平台（如Mendix）中的常见陷阱，其中默认的安全设置可能与开发者的预期不一致。

缓解措施与建议

使用Mendix Studio Pro（特别是11.8.0 Beta或更早版本）的组织应审计其应用程序中所有匿名用户角色。关键的缓解措施是为每个可通过匿名角色访问的实体显式配置访问规则。在Mendix中，开发者应该为不应该公开可读的实体设置访问权限为“无”，而不是让规则表为空。

DIVD建议使用Mendix的开发者审查平台关于匿名用户安全和实体访问规则的文档。对于VerySecureApp特别地，DIVD可能在披露后限制了访问或将应用程序下线。Mendix平台本身不需要补丁——这是应用层的配置问题。

防御者还应考虑网络级控制：如果Mendix应用程序暴露了匿名端点，应定期审查这些端点，并监控访问日志以寻找意外的数据检索模式（例如，未经身份验证的会话获取了大量记录）。