プラットフォーム
other
コンポーネント
mbconnect24
修正版
2.19.5
2.19.5
CVE-2026-33614は、mbCONNECT24のgetinfoエンドポイントにおけるSQLインジェクションの脆弱性です。認証されていないリモートの攻撃者が、SQL SELECTコマンド内の特殊文字の不適切な処理を悪用し、機密情報を完全に窃取する可能性があります。影響を受けるバージョンは0.0.0–2.19.4です。現在、公式な修正プログラムは提供されていません。
CVE-2026-33614 は mbCONNECT24 に影響を与え、'getinfo' エンドポイントにおける重大な SQL インジェクション脆弱性を露呈させます。認証されていないリモート攻撃者は、SQL SELECT コマンド内の特殊文字の不適切な無効化により、この脆弱性を悪用できます。脆弱性の深刻度は CVSS スコア 7.5 で評価され、高いリスクを示します。悪用が成功すると、データベースに格納されているデータ機密性の完全な喪失につながる可能性があります。ユーザーおよびシステムに関する機密情報が含まれます。利用可能な修正プログラム (fix) の不在は状況を悪化させ、リスクを軽減するために迅速な対応が必要です。KEV (Kernel Event) の欠如は、この問題がベンダーによって公式に認識されていないことを示唆しており、情報とソリューションの取得がさらに困難になります。
この脆弱性は、認証なしでアクセスできると思われる mbCONNECT24 の 'getinfo' エンドポイントに存在します。攻撃者は、このエンドポイントの入力パラメータを操作して、SELECT クエリに悪意のある SQL コードを挿入できます。入力の検証とサニタイズの欠如により、SQL の特殊文字 (単一引用符、二重引用符、ピリオド、セミコロンなど) がデータではなくクエリの一部として解釈されるようになります。これにより、攻撃者はクエリロジックを変更して機密データを抽出したり、レコードを変更したり、データベースで任意のコマンドを実行したりできます。認証がないため、悪用は非常に容易になり、ネットワークアクセスを持つ人は誰でもこの脆弱性を悪用しようとすることができます。
エクスプロイト状況
EPSS
0.06% (20% パーセンタイル)
CISA SSVC
mbCONNECT24 ベンダーから公式な修正プログラム (fix) が提供されていないため、軽減策は、悪用のリスクを低減することに焦点を当てる必要があります。影響を受けるシステムを公共ネットワークから隔離することを強くお勧めします。ファイアウォールと侵入検知システム (IDS) を実装することで、悪用の試行を特定してブロックするのに役立ちます。ソースコードとシステム構成の徹底的なセキュリティ監査は、追加の潜在的な脆弱性を明らかにする可能性があります。'getinfo' エンドポイントを対象とする悪意のあるトラフィックをフィルタリングするために、Web アプリケーションファイアウォール (WAF) の実装を検討してください。SQL インジェクションに関連する疑わしいアクティビティについてシステムログを積極的に監視することが重要です。ソリューションを要求するためにベンダーと通信することが不可欠です。
Actualice mbCONNECT24 a una versión posterior a la 2.19.4 para corregir la vulnerabilidad de inyección SQL. Consulte el aviso de seguridad del proveedor para obtener más detalles e instrucciones específicas de actualización.
脆弱性分析と重要アラートをメールでお届けします。
これは mbCONNECT24 ソフトウェアの特定のセキュリティ脆弱性のためのユニークな識別子です。
これにより、攻撃者は認証なしで機密情報にアクセスでき、機密性の完全な喪失につながる可能性があります。
システムを公共ネットワークから隔離し、ファイアウォールと WAF を実装し、システムログを監視してください。
現在、ベンダーから公式の修正プログラムは提供されていません。修正プログラムを要求するためにベンダーに連絡することをお勧めします。
KEV はカーネルイベント識別子です。KEV がないことは、この問題がベンダーによって公式に認識されていないことを示しています。
CVSS ベクトル