Múltiples vulnerabilidades en productos MB connect line

Fecha de publicación 21/09/2020
Importancia
5 - Crítica
Recursos Afectados
  • mymbCONNECT24, versión v2.6.1 y anteriores;
  • mbCONNECT24, versión v2.6.1 y anteriores.
Descripción

CERT@VDE ha coordinado las vulnerabilidades reportadas por OTORIO a MB connect line que podrían permitir a un atacante la divulgación de información.

Solución

Actualizar los productos afectados a una versión superior a la v2.6.1.

Detalle
  • Una vulnerabilidad de Inyección SQL ciega en knximport y en lancompenent que podría permitir a un atacante autenticado descubrir información arbitraria. Se han asignado los identificadores CVE-2020-24569 y CVE-2020-24568 para estas vulnerabilidades.
  • La vulnerabilidad de tipo Server-Side Request Forgery (SSRF) y Cross-Site Request Forgery (CSRF) podría permitir a un atacante robar la información de sesión por medio de enlaces especialmente diseñados. Se ha asignado el identificador CVE-2020-24570 para esta vulnerabilidad.
  • El uso de un software de terceros, obsoleto y sin usar, podría permitir la ejecución remota de código a través de una cadena de explotación.

Encuesta valoración

Listado de referencias
MB connect line: Multiple Vulnerabilities in mymbCONNECT24 and mbCONNECT24 <= v2.6.1
Etiquetas