Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de MB connect line GmbH

Fecha de publicación 25/06/2025
Identificador
INCIBE-2025-0334
Importancia
4 - Alta
Recursos Afectados

Versiones anteriores a la 2.18.0 (CVE-2025-3090 y CVE-2025-3092) y 2.16.5 (CVE-2025-3091) para:

  • mbCONNECT24;
  • mymbCONNECT24.
Descripción

CERT@VDE en coordinación con MB connect line GmbH ha informado sobre 3 vulnerabilidades de severidad alta que podría provocar una divulgación de información de nombres de usuario y dispositivo, ataques de denegación de servicio (DoS), enumeración de usuarios y omisión de contraseñas.

Solución

Actualizar a las últimas versiones: 2.16.5 y 2.18.0.

Detalle

Las vulnerabilidades se describen de la siguiente forma:

  • Un atacante remoto, no autenticado, puede obtener información confidencial limitada y/o atacar el dispositivo debido a la falta de autenticación para una función crítica. Se ha asignado el identificador CVE-2025-3090 para esta vulnerabilidad.
  • Un atacante en posesión del segundo factor de un usuario puede iniciar sesión como ese usuario sin conocer la contraseña (primer factor). Se ha asignado el identificador CVE-2025-3091 para esta vulnerabilidad.
  • Un punto final no protegido puede usarse para enumerar nombres de usuario válidos. Se ha asignado el identificador CVE-2025-3092 para esta vulnerabilidad.
Listado de referencias
MB connect line: Vulnerabilities in mbCONNECT24/mymbCONNECT24
MB connect line: Vulnerabilities in mbCONNECT24/mymbCONNECT24
Etiquetas