Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Índice

  • Múltiples vulnerabilidades en productos de Helmholz
  • Múltiples vulnerabilidades en productos de MB connect line

Múltiples vulnerabilidades en productos de Helmholz

Fecha24/03/2026
Importancia5 - Crítica
Recursos Afectados

Helmholtz myREX24V2 y miREX24V2.virtual, versiones de firmware: 2.19.3 y anteriores.

Descripción

CERT@VDE en colaboración con Helmholz GmbH & Co. KG ha publicado dos vulnerabilidades: una de severidad crítica y otra de severidad alta que, de ser explotadas, podrían permitir a un atacante ejecutar código remoto o realizar una inyección SQL.

Solución

Actualizar la instancia myREX24V2/myREX24V2.virtual a la versión 2.19.4.

Detalle
  • CVE-2026-32968: vulnerabilidad de severidad crítica que debido a la neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo. Un atacante remoto no autenticado, podría explotar una vulnerabilidad de ejecución remota de código (RCE) en el módulo com_mb24sysapi, lo que resultaría en el compromiso total del sistema. Esta vulnerabilidad es una variante de ataque de CVE-2020-10383.
  • CVE-2026-32969: vulnerabilidad de severidad alta. Un atacante remoto no autenticado, podría explotar una vulnerabilidad de inyección SQL ciega previa a la autenticación en el método de autenticación del endpoint 'userinfo' debido a una neutralización incorrecta de elementos especiales en un comando SQL SELECT. Esto puede resultar en una pérdida total de confidencialidad.

Múltiples vulnerabilidades en productos de MB connect line

Fecha24/03/2026
Importancia5 - Crítica
Recursos Afectados

MB connect line mbCONNECT24 y mymbCONNECT24, versiones de firmware: 2.19.3 y anteriores.

Descripción

CERT@VDE en colaboración con MB connect line GmbH ha publicado dos vulnerabilidades: una de severidad crítica y otra de severidad alta que, de ser explotadas, podrían permitir a un atacante ejecutar código remoto o realizar una inyección SQL.

Solución

Actualizar la instancia mbCONNECT24/mymbCONNECT24 a la versión 2.19.4.

Detalle
  • CVE-2026-32968: vulnerabilidad de severidad crítica que debido a la neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo. Un atacante remoto no autenticado, podría explotar una vulnerabilidad de ejecución remota de código (RCE) en el módulo com_mb24sysapi, lo que resultaría en el compromiso total del sistema. Esta vulnerabilidad es una variante de ataque de CVE-2020-10383.
  • CVE-2026-32969: vulnerabilidad de severidad alta. Un atacante remoto no autenticado, podría explotar una vulnerabilidad de inyección SQL ciega previa a la autenticación en el método de autenticación del endpoint 'userinfo' debido a una neutralización incorrecta de elementos especiales en un comando SQL SELECT. Esto puede resultar en una pérdida total de confidencialidad.