CRITICAL🇬🇧 English

CVE-2026-33615

SQL Injection w endpoincie setinfo produktów Mbconnectline

CVSS 9.1v3.1pub. 2026-04-02upd. 2026-04-16

Nieuwierzytelniony zdalny atakujący może przeprowadzić atak SQL Injection na endpoint setinfo w produktach Mbconnectline Mbconnect24 i Mymbconnect24. Podatność pozwala na całkowitą utratę integralności i dostępności systemu bez konieczności posiadania jakichkolwiek uprawnień.

Pokaż oryginał (EN)

An unauthenticated remote attacker can exploit an unauthenticated SQL Injection vulnerability in the setinfo endpoint due to improper neutralization of special elements in a SQL UPDATE command. This can result in a total loss of integrity and availability.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej neutralizacji znaków specjalnych w poleceniu SQL UPDATE wykonywanym przez endpoint setinfo. Atakujący może spreparować złośliwe żądanie HTTP zawierające niebezpieczne sekwencje znaków, które zostaną osadzone bezpośrednio w zapytaniu SQL bez odpowiedniego oczyszczenia. Ponieważ endpoint nie wymaga uwierzytelnienia, exploit jest możliwy dla każdego, kto ma dostęp sieciowy do urządzenia.

Skutki

Atakujący może zmanipulować lub zniszczyć dane w bazie danych (utrata integralności) oraz doprowadzić do niedostępności systemu (utrata dostępności). Zgodnie z opisem podatność skutkuje całkowitą utratą integralności i dostępności.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://certvde.com/de/advisories/VDE-2026-030). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do endpointu setinfo poprzez firewall lub segmentację sieci, tak aby urządzenia nie były dostępne z niezaufanych sieci.

Kogo dotyczy

Mbconnectline Mbconnect24 oraz Mbconnectline Mymbconnect24 — konkretne wersje wskazane w referencjach producenta (VDE-2026-030).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
  • Mbconnectline Mbconnect24

    APP
    Mbconnectline
    ≤ 2.19.4
  • Mbconnectline Mymbconnect24

    APP
    Mbconnectline
    ≤ 2.19.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2020-35565CRITICAL9.8ten sam produkt

An issue was discovered in MB CONNECT LINE mymbCONNECT24 and mbCONNECT24 through 2.6.2. The login pages brutef...

CVE-2020-10383CRITICAL9.8ten sam produkt

An issue was discovered in the MB CONNECT LINE mymbCONNECT24 and mbCONNECT24 software in all versions through ...

CVE-2026-33614HIGH7.5ten sam produkt

An unauthenticated remote attacker can exploit an unauthenticated SQL Injection vulnerability in the getinfo e...

CVE-2026-33613HIGH7.2ten sam produkt

Due to the improper neutralisation of special elements used in an OS command, a remote attacker can exploit an...

CVE-2026-33616HIGH7.5ten sam produkt

An unauthenticated remote attacker can exploit an unauthenticated blind SQL Injection vulnerability in the mb2...