MB connect line mbCONNECT24 vulnérable à une injection SQL (SQL Injection) non authentifiée dans le point de terminaison getinfo
Plateforme
other
Composant
mbconnect24
Corrigé dans
2.19.5
2.19.5
CVE-2026-33614 est une vulnérabilité d'injection SQL non authentifiée affectant mbCONNECT24. Un attaquant distant non authentifié peut exploiter cette faille via le endpoint getinfo, entraînant une perte totale de confidentialité. Les versions affectées sont 0.0.0 à 2.19.4. Aucun correctif officiel n'est actuellement disponible.
Impact et Scénarios d'Attaque
La vulnérabilité CVE-2026-33614 affecte mbCONNECT24, exposant une faille critique d'injection SQL dans le point d'accès 'getinfo'. Un attaquant distant non authentifié peut exploiter cette vulnérabilité en raison d'une neutralisation inadéquate des caractères spéciaux dans les commandes SQL SELECT. La gravité de la faille est notée avec un score CVSS de 7.5, indiquant un risque élevé. Une exploitation réussie pourrait entraîner une perte totale de la confidentialité des données stockées dans la base de données, y compris des informations sensibles relatives aux utilisateurs et au système. L'absence de correctif (fix) disponible aggrave la situation, nécessitant une attention immédiate pour atténuer le risque. L'absence d'un KEV (Kernel Event) suggère que le problème n'a pas été officiellement reconnu par le fournisseur, ce qui rend plus difficile l'obtention d'informations et de solutions.
Contexte d'Exploitation
La vulnérabilité réside dans le point d'accès 'getinfo' de mbCONNECT24, qui semble être accessible sans authentification. Un attaquant peut manipuler les paramètres d'entrée de ce point d'accès pour injecter du code SQL malveillant dans les requêtes SELECT. L'absence de validation et d'assainissement des entrées permet aux caractères spéciaux SQL (tels que les guillemets simples, les guillemets doubles, les points et les points-virgules) d'être interprétés comme faisant partie de la requête, plutôt que comme des données. Cela permet à l'attaquant de modifier la logique de la requête, d'extraire des données sensibles, de modifier des enregistrements ou même d'exécuter des commandes arbitraires sur la base de données. L'absence d'authentification facilite grandement l'exploitation, car toute personne ayant accès au réseau peut tenter d'exploiter la vulnérabilité.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.06% (percentile 20%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Aucun — aucun impact sur l'intégrité.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- EPSS mis à jour
Mitigation et Contournements
Étant donné qu'aucun correctif officiel n'est fourni par le fournisseur de mbCONNECT24, les mesures d'atténuation doivent se concentrer sur la réduction du risque d'exploitation. Nous recommandons fortement d'isoler les systèmes affectés du réseau public afin d'empêcher les accès non autorisés. La mise en œuvre de pare-feu et de systèmes de détection d'intrusion (IDS) peut aider à identifier et à bloquer les tentatives d'exploitation. Des audits de sécurité approfondis du code source et de la configuration du système peuvent révéler d'éventuelles faiblesses supplémentaires. Envisagez de mettre en œuvre un pare-feu applicatif web (WAF) pour filtrer le trafic malveillant ciblant le point d'accès 'getinfo'. Surveiller activement les journaux du système à la recherche d'activités suspectes liées à l'injection SQL est essentiel. Communiquer avec le fournisseur pour demander une solution est essentiel.
Comment corrigertraduction en cours…
Actualice mbCONNECT24 a una versión posterior a la 2.19.4 para corregir la vulnerabilidad de inyección SQL. Consulte el aviso de seguridad del proveedor para obtener más detalles e instrucciones específicas de actualización.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentes
Qu'est-ce que CVE-2026-33614 — SQL Injection dans mbCONNECT24 ?
C'est un identifiant unique pour une vulnérabilité de sécurité spécifique dans le logiciel mbCONNECT24.
Suis-je affecté(e) par CVE-2026-33614 dans mbCONNECT24 ?
Elle permet à un attaquant d'accéder à des informations confidentielles sans authentification, ce qui peut entraîner une perte totale de confidentialité.
Comment corriger CVE-2026-33614 dans mbCONNECT24 ?
Isolez le système du réseau public, mettez en œuvre des pare-feu et des WAF, et surveillez les journaux du système.
CVE-2026-33614 est-il activement exploité ?
Actuellement, il n'y a pas de correctif officiel fourni par le fournisseur. Il est recommandé de contacter le fournisseur pour demander un correctif.
Où trouver l'avis officiel de mbCONNECT24 pour CVE-2026-33614 ?
KEV est un identifiant d'événement du noyau. L'absence d'un KEV indique que le problème n'a pas été officiellement reconnu par le fournisseur.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.