Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de MB connect line

Fecha de publicación 28/05/2026
Identificador
INCIBE-2026-381
Importancia
4 - Alta
Recursos Afectados
  • mbCONNECT24:
    • Firmware 2.20.0 y versiones anteriores.
  • mymbCONNECT24:
    • Firmware 2.20.0 y versiones anteriores.
  • mbNET/mbNET.rokey:
    • Firmware 8.4.4 y versiones anteriores.
  • mbNET.mini:
    • Firmware 3.0.2 y versiones anteriores.
Descripción

Moritz Abrell y Christian Zäske de SySS GmbH, en coordinación con el CERT@VDE, han reportado 41 vulnerabilidades: 16 de ellas de severidad crítica y el resto medias, en productos de MB connect line. Las vulnerabilidades más críticas permiten la explotación de inyecciones SQL y ejecución de comandos del sistema operativo. Un atacante remoto no autenticado podría comprometer la confidencialidad de la información almacenada en la base de datos, así como ejecutar código arbitrario y comprometer completamente el sistema afectado.

Solución

MB connect line ha publicado actualizaciones de seguridad para corregir las vulnerabilidades detectadas.

  • mbNET/mbNET.rokey:
    • Actualizar a la versión 8.4.5.
  • mbNET.mini:
    • Actualizar a la versión 3.0.3.
Detalle

Las vulnerabilidades de severidad alta son de los siguientes tipos:

  • Neutralización incorrecta de elementos especiales utilizados en un comando SQL (inyección SQL):
    • CVE-2026-40850
    • CVE-2026-40819
    • CVE-2026-40818
    • CVE-2026-40817
    • CVE-2026-40816
    • CVE-2026-40815
    • CVE-2026-40814
    • CVE-2026-40813
    • CVE-2026-40812
    • CVE-2026-40811
    • CVE-2026-40810
    • CVE-2026-40836
    • CVE-2026-40834
    • CVE-2026-40833
  • Validación incorrecta de un tipo específico de entrada:
    • CVE-2026-40851
  • Neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo (inyección de comandos del sistema operativo):
    • CVE-2026-40852

El resto de vulnerabilidades ese pueden consultar en los enlaces de las referencias.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-40850 Alta No MB connect line
CVE-2026-40819 Alta No MB connect line
CVE-2026-40818 Alta No MB connect line
CVE-2026-40817 Alta No MB connect line
CVE-2026-40816 Alta No MB connect line
CVE-2026-40815 Alta No MB connect line
CVE-2026-40814 Alta No MB connect line
CVE-2026-40813 Alta No MB connect line
CVE-2026-40812 Alta No MB connect line
CVE-2026-40811 Alta No MB connect line
CVE-2026-40810 Alta No MB connect line
CVE-2026-40836 Alta No MB connect line
CVE-2026-40834 Alta No MB connect line
CVE-2026-40833 Alta No MB connect line
CVE-2026-40851 Alta No MB connect line
CVE-2026-40852 Alta No MB connect line
Listado de referencias
MB connect line: Multiple SQLi vulnerabilities in mbCONNECT24/mymbCONNECT24
MB connect line: Multiple vulnerabilities in mbNET/mbNET.rokey/mbNET.mini
Etiquetas