Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Índice

  • Múltiples vulnerabilidades en productos de Helmholz
  • Múltiples vulnerabilidades en productos de MB connect line

Múltiples vulnerabilidades en productos de Helmholz

Fecha28/05/2026
Importancia4 - Alta
Recursos Afectados
  • REX100, versiones de firmware 3.0.2 o anteriores;
  • REX200/250, versiones de firmware 8.4.4 o anteriores;
  • myREX24V2, versiones de firmware 2.20.0 o anteriores;
  • myREX24V2.virtual, versiones de firmware 2.20.0 o anteriores.
Descripción

CERT@VDE ha informado de un total de 43 vulnerabilidades, 16 de severidad alta y 27 media que, en caso de ser explotadas, podrían provocar una pérdida total de la confidencialidad, integridad y/o disponibilidad.

Solución

Según el producto, actualizarlo a la versión indicada a continuación:

  • REX200/REX250: 8.4.5
  • REX 100: 3.0.3
  • myREX24V2: 2.20.1
  • myREX24V2.2.20.1
Detalle

Las vulnerabilidades de severidad alta son de los siguientes tipos:

  • Neutralización incorrecta de elementos especiales utilizados en un comando SQL (inyección de comandos SQL):
    • CVE-2026-40850
    • CVE-2026-40819
    • CVE-2026-40818
    • CVE-2026-40817
    • CVE-2026-40816
    • CVE-2026-40815
    • CVE-2026-40814
    • CVE-2026-40813
    • CVE-2026-40812
    • CVE-2026-40811
    • CVE-2026-40810
    • CVE-2026-40836
    • CVE-2026-40834
    • CVE-2026-40833
  • Validación incorrecta de un tipo específico de la entrada:
    • CVE-2026-40851
  • Neutralización incorrecta de elementos especiales utilizados en un comando del Sistema Operativo (Inyección de Comandos en el Sistema Operativo):
    • CVE-2026-40852

El resto de vulnerabilidades ese pueden consultar en los enlaces de las referencias.

Múltiples vulnerabilidades en productos de MB connect line

Fecha28/05/2026
Importancia4 - Alta
Recursos Afectados
  • mbCONNECT24:
    • Firmware 2.20.0 y versiones anteriores.
  • mymbCONNECT24:
    • Firmware 2.20.0 y versiones anteriores.
  • mbNET/mbNET.rokey:
    • Firmware 8.4.4 y versiones anteriores.
  • mbNET.mini:
    • Firmware 3.0.2 y versiones anteriores.
Descripción

Moritz Abrell y Christian Zäske de SySS GmbH, en coordinación con el CERT@VDE, han reportado 41 vulnerabilidades: 16 de ellas de severidad crítica y el resto medias, en productos de MB connect line. Las vulnerabilidades más críticas permiten la explotación de inyecciones SQL y ejecución de comandos del sistema operativo. Un atacante remoto no autenticado podría comprometer la confidencialidad de la información almacenada en la base de datos, así como ejecutar código arbitrario y comprometer completamente el sistema afectado.

Solución

MB connect line ha publicado actualizaciones de seguridad para corregir las vulnerabilidades detectadas.

  • mbNET/mbNET.rokey:
    • Actualizar a la versión 8.4.5.
  • mbNET.mini:
    • Actualizar a la versión 3.0.3.
Detalle

Las vulnerabilidades de severidad alta son de los siguientes tipos:

  • Neutralización incorrecta de elementos especiales utilizados en un comando SQL (inyección SQL):
    • CVE-2026-40850
    • CVE-2026-40819
    • CVE-2026-40818
    • CVE-2026-40817
    • CVE-2026-40816
    • CVE-2026-40815
    • CVE-2026-40814
    • CVE-2026-40813
    • CVE-2026-40812
    • CVE-2026-40811
    • CVE-2026-40810
    • CVE-2026-40836
    • CVE-2026-40834
    • CVE-2026-40833
  • Validación incorrecta de un tipo específico de entrada:
    • CVE-2026-40851
  • Neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo (inyección de comandos del sistema operativo):
    • CVE-2026-40852

El resto de vulnerabilidades ese pueden consultar en los enlaces de las referencias.