प्लेटफ़ॉर्म
other
घटक
mbconnect24
में ठीक किया गया
2.19.5
2.19.5
CVE-2026-33614, mbCONNECT24 के getinfo एंडपॉइंट में एक SQL इंजेक्शन भेद्यता है। एक अनाधिकृत रिमोट हमलावर SQL SELECT कमांड में विशेष तत्वों के अनुचित तटस्थता के कारण इसका फायदा उठा सकता है, जिससे गोपनीयता का पूर्ण नुकसान हो सकता है। यह भेद्यता mbCONNECT24 के संस्करण 0.0.0 से 2.19.4 को प्रभावित करती है। वर्तमान में, इस समस्या को ठीक करने के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
CVE-2026-33614 mbCONNECT24 को प्रभावित करता है, 'getinfo' एंडपॉइंट में एक गंभीर SQL इंजेक्शन भेद्यता को उजागर करता है। एक अनधिकृत दूरस्थ हमलावर इस भेद्यता का फायदा उठा सकता है क्योंकि SQL SELECT कमांड में विशेष वर्णों का अमान्यकरण उचित नहीं है। भेद्यता की गंभीरता को CVSS स्कोर 7.5 के साथ रेट किया गया है, जो उच्च जोखिम दर्शाता है। सफल शोषण के परिणामस्वरूप डेटा गोपनीयता का पूर्ण नुकसान हो सकता है, जिसमें डेटाबेस में संग्रहीत उपयोगकर्ता और सिस्टम संवेदनशील जानकारी शामिल है। उपलब्ध फिक्स (fix) की कमी से स्थिति खराब हो जाती है, और जोखिम को कम करने के लिए तत्काल कार्रवाई की आवश्यकता होती है। KEV (कर्नेल इवेंट) की कमी से पता चलता है कि इस मुद्दे को विक्रेता द्वारा आधिकारिक तौर पर मान्यता नहीं दी गई है, जिससे जानकारी और समाधान प्राप्त करना और अधिक कठिन हो जाता है।
यह भेद्यता mbCONNECT24 के 'getinfo' एंडपॉइंट में मौजूद है, जो प्रतीत होता है कि बिना प्रमाणीकरण के एक्सेस किया जा सकता है। एक हमलावर इस एंडपॉइंट के इनपुट पैरामीटर को हेरफेर करके SELECT क्वेरी में दुर्भावनापूर्ण SQL कोड इंजेक्ट कर सकता है। इनपुट सत्यापन और सफाई की कमी के कारण SQL विशेष वर्णों (जैसे एकल उद्धरण, दोहरे उद्धरण, अवधि और अर्धविराम) को डेटा के बजाय क्वेरी के हिस्से के रूप में व्याख्यायित किया जा सकता है। यह हमलावर को क्वेरी तर्क को संशोधित करने, संवेदनशील डेटा निकालने, रिकॉर्ड को संशोधित करने या डेटाबेस पर मनमाना कमांड निष्पादित करने की अनुमति देता है। प्रमाणीकरण की कमी शोषण को बहुत आसान बना देती है, क्योंकि नेटवर्क एक्सेस रखने वाला कोई भी व्यक्ति इस भेद्यता का फायदा उठाने का प्रयास कर सकता है।
एक्सप्लॉइट स्थिति
EPSS
0.06% (20% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि mbCONNECT24 विक्रेता से कोई आधिकारिक फिक्स प्रदान नहीं किया गया है, इसलिए शमन उपायों को शोषण के जोखिम को कम करने पर ध्यान केंद्रित करना चाहिए। प्रभावित सिस्टम को सार्वजनिक नेटवर्क से अलग करने की दृढ़ता से अनुशंसा की जाती है ताकि अनधिकृत पहुंच को रोका जा सके। फ़ायरवॉल और घुसपैठ का पता लगाने वाले सिस्टम (IDS) को लागू करने से शोषण के प्रयासों की पहचान और अवरुद्ध करने में मदद मिल सकती है। स्रोत कोड और सिस्टम कॉन्फ़िगरेशन के गहन सुरक्षा ऑडिट अतिरिक्त संभावित कमजोरियों को उजागर कर सकते हैं। 'getinfo' एंडपॉइंट को लक्षित करने वाले दुर्भावनापूर्ण ट्रैफ़िक को फ़िल्टर करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने पर विचार करें। SQL इंजेक्शन से संबंधित संदिग्ध गतिविधि के लिए सिस्टम लॉग की सक्रिय रूप से निगरानी करना महत्वपूर्ण है। समाधान का अनुरोध करने के लिए विक्रेता से संपर्क करना आवश्यक है।
Actualice mbCONNECT24 a una versión posterior a la 2.19.4 para corregir la vulnerabilidad de inyección SQL. Consulte el aviso de seguridad del proveedor para obtener más detalles e instrucciones específicas de actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह mbCONNECT24 सॉफ़्टवेयर में एक विशिष्ट सुरक्षा भेद्यता के लिए एक अनूठा पहचानकर्ता है।
यह एक हमलावर को प्रमाणीकरण के बिना गोपनीय जानकारी तक पहुंचने की अनुमति देता है, जिससे गोपनीयता का पूर्ण नुकसान हो सकता है।
सिस्टम को सार्वजनिक नेटवर्क से अलग करें, फ़ायरवॉल और WAF लागू करें और सिस्टम लॉग की निगरानी करें।
वर्तमान में, विक्रेता द्वारा कोई आधिकारिक फिक्स प्रदान नहीं किया गया है। फिक्स का अनुरोध करने के लिए विक्रेता से संपर्क करने की सिफारिश की जाती है।
KEV एक कर्नेल इवेंट पहचानकर्ता है। KEV की कमी से पता चलता है कि विक्रेता द्वारा इस मुद्दे को आधिकारिक तौर पर मान्यता नहीं दी गई है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।