Múltiples vulnerabilidades en productos de MB connect line
Fecha de publicación 24/03/2026
Identificador
INCIBE-2026-219
Importancia
5 - Crítica
Recursos Afectados
MB connect line mbCONNECT24 y mymbCONNECT24, versiones de firmware: 2.19.3 y anteriores.
Descripción
CERT@VDE en colaboración con MB connect line GmbH ha publicado dos vulnerabilidades: una de severidad crítica y otra de severidad alta que, de ser explotadas, podrían permitir a un atacante ejecutar código remoto o realizar una inyección SQL.
Solución
Actualizar la instancia mbCONNECT24/mymbCONNECT24 a la versión 2.19.4.
Detalle
- CVE-2026-32968: vulnerabilidad de severidad crítica que debido a la neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo. Un atacante remoto no autenticado, podría explotar una vulnerabilidad de ejecución remota de código (RCE) en el módulo com_mb24sysapi, lo que resultaría en el compromiso total del sistema. Esta vulnerabilidad es una variante de ataque de CVE-2020-10383.
- CVE-2026-32969: vulnerabilidad de severidad alta. Un atacante remoto no autenticado, podría explotar una vulnerabilidad de inyección SQL ciega previa a la autenticación en el método de autenticación del endpoint 'userinfo' debido a una neutralización incorrecta de elementos especiales en un comando SQL SELECT. Esto puede resultar en una pérdida total de confidencialidad.
CVE
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-32968 | Crítica | No | MB connect line |
| CVE-2026-32969 | Alta | No | MB connect line |
Listado de referencias
