Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en myREX24V2 y myREX24V2.virtual de Helmholz

Fecha de publicación 14/04/2026
Identificador
INCIBE-2026-277
Importancia
5 - Crítica
Recursos Afectados

Helmholz myREX24V2 y myREX24V2.virtual, versiones de firmware: 2.19.4 y anteriores.

Descripción

Moritz Abrell y Christian Zäske de SySS  han descubierto cinco vulnerabilidades: una de severidad crítica, tres de severidad alta, y una de severidad media. Su explotación, podría permitir la ejecución remota de código (RCE), realizar inyecciones SQL (SQLi) o filtrar información.

Solución

Actualizar la instancia myREX24V2 y myREX24V2.virtual a la versión 2.19.5.

Detalle
  • CVE-2026-33615: vulnerabilidad de severidad crítica. Un atacante remoto no autenticado podría explotar una vulnerabilidad de inyección SQL en el endpoint 'setinfo' debido a la neutralización inadecuada de elementos especiales en un comando SQL UPDATE. Esto podría resultar en una pérdida total de integridad y disponibilidad.
  • CVE-2026-33616: vulnerabilidad de severidad alta. Un atacante remoto no autenticado podría explotar una vulnerabilidad de inyección SQL ciega en el endpoint 'mb24api' debido a la neutralización inadecuada de elementos especiales en un comando SQL SELECT. Esto podría resultar en una pérdida total de confidencialidad.
  • CVE-2026-33614: vulnerabilidad de severidad alta. Un atacante remoto no autenticado podría explotar una vulnerabilidad de inyección SQL en el endpoint 'getinfo' debido a la neutralización inadecuada de elementos especiales en un comando SQL SELECT. Esto podría resultar en una pérdida total de confidencialidad.
  • CVE-2026-33613: vulnerabilidad de severidad alta. Debido a la neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo, un atacante remoto podría explotar una vulnerabilidad de ejecución remota de código en la función 'generateSrpArray', lo que resultaría en un compromiso total del sistema. Esta vulnerabilidad solo podría ser explotada si el atacante contase con algún otro método para escribir datos arbitrarios en la tabla de usuarios.
  • CVE-2026-33617: vulnerabilidad de severidad media. Un atacante remoto no autenticado podría acceder a un archivo de configuración que contendría credenciales de la base de datos. Esto podría resultar en una pérdida parcial de confidencialidad, aunque no existe un endpoint expuesto para utilizar dichas credenciales.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-33615 Crítica No HELMHOLZ
CVE-2026-33616 Alta No HELMHOLZ
CVE-2026-33614 Alta No HELMHOLZ
CVE-2026-33613 Alta No HELMHOLZ
CVE-2026-33617 Media No HELMHOLZ
Listado de referencias
CERT@VDE (VDE-2026-043) - Helmholz: Multiple Vulnerabilities in myREX24V2/myREX24V2.virtual
Etiquetas