MB connect line mbCONNECT24 は、setinfo エンドポイントにおいて認証されていない (unauthenticated) SQL インジェクション (SQL Injection) に脆弱です。

このSQLインジェクション脆弱性は、攻撃者にとって非常に危険です。認証なしで攻撃者がmbCONNECT24のデータベースにアクセスし、任意のSQLクエリを実行できるため、機密情報の窃取、データの改ざん、データベースの完全な破壊といった深刻な被害をもたらす可能性があります。攻撃者は、データベース内のユーザー認証情報を盗み出し、他のシステムへのアクセス権を得ることも可能です。また、データベースを完全に破壊することで、サービスの停止を引き起こし、ビジネスに大きな損害を与える可能性があります。この脆弱性の悪用は、類似のSQLインジェクション攻撃と同様に、広範囲にわたる影響を及ぼす可能性があります。

Organizations utilizing mbCONNECT24 in production environments, particularly those with publicly accessible instances, are at significant risk. This includes businesses relying on mbCONNECT24 for communication or data management, especially those with inadequate security controls or outdated configurations. Shared hosting environments where multiple users share the same mbCONNECT24 instance are also particularly vulnerable.

• generic web: Use curl to test the setinfo endpoint with various SQL injection payloads. Check for error messages or unexpected behavior indicating successful injection.

curl -X POST -d "param='; DROP TABLE users;--" http://your-mbconnect24-server/setinfo

• database (mysql): If you have access to the database, review the mbCONNECT24 database logs for suspicious SQL queries or attempts to access sensitive data. • linux / server: Monitor system logs (e.g., /var/log/auth.log, /var/log/syslog) for unusual activity related to the mbCONNECT24 service or database connections.

1. 2026-04-02Disclosure

   disclosure

1. 予約済み2026-03-23
2. 公開日2026-04-02
3. EPSS 更新日2026-04-09

この脆弱性への対応として、まずmbCONNECT24を最新バージョンにアップデートすることを強く推奨します。アップデートが利用できない場合、一時的な緩和策として、WAF（Web Application Firewall）を導入し、SQLインジェクション攻撃を検知・防御するルールを設定することが考えられます。また、setinfoエンドポイントへのアクセスを制限し、信頼できるIPアドレスからのアクセスのみを許可するなどの対策も有効です。さらに、データベースのバックアップを定期的に行い、万が一の事態に備えることが重要です。アップデート後、データベースの整合性を確認し、不正なデータ改ざんがないか確認してください。