Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Helmholz

Fecha de publicación 24/03/2026
Identificador
INCIBE-2026-218
Importancia
5 - Crítica
Recursos Afectados

Helmholtz myREX24V2 y miREX24V2.virtual, versiones de firmware: 2.19.3 y anteriores.

Descripción

CERT@VDE en colaboración con Helmholz GmbH & Co. KG ha publicado dos vulnerabilidades: una de severidad crítica y otra de severidad alta que, de ser explotadas, podrían permitir a un atacante ejecutar código remoto o realizar una inyección SQL.

Solución

Actualizar la instancia myREX24V2/myREX24V2.virtual a la versión 2.19.4.

Detalle
  • CVE-2026-32968: vulnerabilidad de severidad crítica que debido a la neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo. Un atacante remoto no autenticado, podría explotar una vulnerabilidad de ejecución remota de código (RCE) en el módulo com_mb24sysapi, lo que resultaría en el compromiso total del sistema. Esta vulnerabilidad es una variante de ataque de CVE-2020-10383.
  • CVE-2026-32969: vulnerabilidad de severidad alta. Un atacante remoto no autenticado, podría explotar una vulnerabilidad de inyección SQL ciega previa a la autenticación en el método de autenticación del endpoint 'userinfo' debido a una neutralización incorrecta de elementos especiales en un comando SQL SELECT. Esto puede resultar en una pérdida total de confidencialidad.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-32968 Crítica No Helmholz
CVE-2026-32969 Alta No Helmholz
Listado de referencias
Helmholz: Multiple Vulnerabilities in myREX24V2 / myREX24V2.virtual
Etiquetas