Múltiples vulnerabilidades en productos de MB connect line

Fecha de publicación 06/04/2026

Identificador

INCIBE-2026-253

Importancia

5 - Crítica

Recursos Afectados

MB connect line mbCONNECT24, firmware 2.19.4 y anteriores;
mymbCONNECT24, firmware 2.19.4 y anteriores.

Descripción

Moritz Abrell y Christian Zäske de SySS GmbH han informado de 5 vulnerabilidades, 1 de severidad crítica, 3 alta y 1 media que, en caso de ser explotadas, podrían permitir la ejecución de código en remoto, inyección SQL y la fuga de información.

Solución

Actualizar el producto a la versión de firmware 2.19.5.

Detalle

Las vulnerabilidades de severidad crítica y alta son:

CVE-2026-33615: un atacante en remoto, no autenticado, podría explotar una vulnerabilidad de inyección SQL no autenticada en el endpoint setinfo debido a una neutralización incorrecta de elementos especiales en un comando de SQL UPDATE. Esto puede derivar en una pérdida completa de la integridad y disponibilidad.
CVE-2026-33616: un atacante en remoto no autenticado podría explotar una vulnerabilidad de inyección SQL ciega no autenticada en el endpoint mb24api debido a una neutralización incorrecta de elementos especiales en un comando de SQL SELECT. Esto puede derivar en una pérdida total del confidencialidad.
CVE-2026-33614: un atacante en remoto no autenticado podría explotar una vulnerabilidad de inyección SQL no autenticada en el endpoint getinfo debido a una neutralización incorrecta de elementos especiales en un comando de SQL SELECT. Esto puede derivar en una pérdida total del confidencialidad.
CVE-2026-33613: debido a una neutralización incorrecta de elementos especiales utilizados en un comando del SO, un atacante remoto podría explotar una vulnerabilidad ejecución de código en remoto (RCE) en la función generateSrpArray, lo que deriva en un compromiso absoluto del sistema.

CVE