Plataforma
other
Componente
mbconnect24
Corregido en
2.16.2
8.2.0
8.2.0
2.16.2
La vulnerabilidad CVE-2024-23943 afecta a la API en la nube de mbCONNECT24 Cloud API, permitiendo a un atacante remoto obtener acceso sin autenticación a funciones críticas. Esta falta de autenticación puede resultar en la exposición de información sensible y el control no autorizado del sistema. La vulnerabilidad afecta a las versiones desde 0 hasta 8.2.0, siendo crucial aplicar la actualización a la versión 8.2.0 para mitigar el riesgo.
La principal consecuencia de esta vulnerabilidad es la posibilidad de que un atacante obtenga acceso no autorizado a la API en la nube de mbCONNECT24 Cloud API. Al no requerir autenticación, cualquier persona con acceso a la red puede explotar esta falla. Esto podría permitir la lectura, modificación o eliminación de datos almacenados en la nube, así como la configuración de dispositivos conectados. La falta de autenticación amplía significativamente el radio de impacto, ya que no se requiere un compromiso previo del sistema para explotar la vulnerabilidad. La disponibilidad del servicio no se ve afectada directamente, pero la integridad y confidencialidad de los datos sí lo están.
La vulnerabilidad CVE-2024-23943 fue publicada el 18 de marzo de 2025. No se ha añadido a la lista KEV de CISA, ni se ha reportado una puntuación EPSS. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (falta de autenticación) la hace fácilmente explotable. Se recomienda monitorear activamente los registros de acceso a la API en la nube para detectar cualquier actividad sospechosa.
Organizations utilizing mbCONNECT24 Cloud API in their deployments, particularly those with exposed APIs or those lacking robust network segmentation, are at risk. Legacy configurations and deployments without proper access controls are especially vulnerable.
disclosure
Estado del Exploit
EPSS
0.15% (35% percentil)
CISA SSVC
Vector CVSS
La solución principal para mitigar CVE-2024-23943 es actualizar a la versión 8.2.0 o superior de mbCONNECT24 Cloud API. Si la actualización no es inmediatamente posible, se recomienda revisar la configuración de la red para restringir el acceso a la API en la nube solo a direcciones IP autorizadas. Implementar reglas de firewall que bloqueen el tráfico no autorizado a los puertos utilizados por la API también puede ayudar a reducir el riesgo. Aunque no existe una solución de mitigación a nivel de código, la segmentación de red y el control de acceso son medidas cruciales hasta que se pueda aplicar la actualización. Después de la actualización, confirmar que la autenticación se requiere correctamente para todas las funciones de la API.
Actualice mbCONNECT24 a la versión 2.16.2 o superior. Esto corrige la falta de autenticación en la API en la nube. Consulte el aviso de seguridad del proveedor para obtener más detalles sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-23943 is a critical vulnerability in the mbCONNECT24 Cloud API allowing unauthenticated access due to missing authentication controls. It affects versions 0.0 through 8.2.0 and has a CVSS score of 9.1.
If you are using mbCONNECT24 Cloud API versions 0.0 to 8.2.0, you are potentially affected by this vulnerability. Assess your deployment and upgrade immediately.
The recommended fix is to upgrade to version 8.2.0 or later. As a temporary workaround, restrict network access to the API and monitor access logs.
While no active exploitation has been confirmed, the ease of exploitation suggests it may become a target. Monitor your systems and implement mitigations proactively.
Refer to the official mbCONNECT24 security advisory for detailed information and updates regarding CVE-2024-23943.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.