MEDIUMCVE-2026-33617CVSS 5.3

MB connect line mbCONNECT24 は、data24 エンドポイントにおける認証されていない情報漏洩の脆弱性があります

プラットフォーム

other

コンポーネント

mbconnect24

修正版

2.19.5

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33617は、mbCONNECT24のバージョン0.0.0から2.19.4に存在する情報漏洩の脆弱性です。認証されていないリモートの攻撃者が、データベースの認証情報を含む設定ファイルにアクセスする可能性があります。これにより、機密情報が漏洩する可能性がありますが、これらの認証情報を使用できるエンドポイントは公開されていません。現在、この脆弱性に対する公式なパッチは提供されていません。

影響と攻撃シナリオ

mbCONNECT24のCVE-2026-33617は、認証なしでリモート攻撃者がデータベースの認証情報を格納する構成ファイルにアクセスできるため、機密性のリスクをもたらします。直接利用できるエンドポイントは存在しませんが、この情報の開示により、攻撃者は他の要因と組み合わせたり、ソーシャルエンジニアリング攻撃に使用したりすることでデータベースにアクセスできる可能性があります。CVSSの深刻度は5.3と評価されており、中程度のリスクを示しています。直接的なエンドポイントがないため、即時のリスクは限定的ですが、認証情報の開示はセキュリティ侵害であり、将来の潜在的な攻撃や機密データの漏洩を防ぐために対処する必要があります。既知の修正プログラムがないことは状況を悪化させ、代替の軽減策を評価し実装する必要があります。

悪用の状況

認証なしでリモート攻撃者は、mbCONNECT24の構成ファイルにアクセスできます。このファイルには、機密情報、特にデータベースアクセス認証情報が含まれています。脆弱性は、このファイルへの不正アクセスを防ぐための適切なアクセス制御がないことにあります。直接これらの認証情報を使用する特定の関数またはエンドポイントはありませんが、攻撃者はブルートフォース攻撃やソーシャルエンジニアリングなどの他の攻撃技術と組み合わせて使用することで、データベースを侵害する可能性があります。既知の修正プログラムがないことは、代替の軽減策が実装されるまで、システムがこのタイプの攻撃に対して脆弱なままであることを意味します。認証が必要ないため、攻撃の複雑さは低いです。

リスク対象者翻訳中…

Organizations utilizing mbCONNECT24 versions 0.0.0 through 2.19.4 are at risk, particularly those with sensitive data stored in the database. Shared hosting environments where mbCONNECT24 is installed alongside other applications are also at increased risk due to potential cross-tenant vulnerabilities.

攻撃タイムライン

2026-04-02Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.04% (11% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントmbconnect24

ベンダーMB connect line

影響範囲修正版

0.0.0 – 2.19.42.19.5

弱点分類 (CWE)

CWE-497

タイムライン

予約済み2026-03-23
公開日2026-04-02
更新日2026-04-03
EPSS 更新日2026-04-09

未パッチ — 公開から52日経過

緩和策と回避策

CVE-2026-33617に対する公式な修正プログラムが提供されていないため、軽減策は構成ファイルへのアクセスを制限し、システム全体のセキュリティを強化することに焦点を当てる必要があります。許可されたユーザーのみが構成ファイルにアクセスできるように制限し、公開アクセスできない安全な場所に配置することをお勧めします。アクセス制御リスト（ACL）などの堅牢なアクセス制御を実装することで、ファイルにアクセスできるユーザーを制限できます。さらに、構成ファイルへの不正アクセスがないかシステムアクティビティを監視する必要があります。潜在的な開示の影響を軽減するために、構成ファイル内でデータベースの認証情報を暗号化することを検討してください。最後に、攻撃対象領域を最小限に抑えるために、すべてのシステムセキュリティ構成を定期的にレビューおよび更新する必要があります。

修正方法翻訳中…

Actualice mbCONNECT24 a una versión posterior a la 2.19.4 para corregir la vulnerabilidad de divulgación de información. Esto evitará que atacantes no autenticados accedan a archivos de configuración que contienen credenciales de la base de datos.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33617 とは何ですか？（mbCONNECT24 の Information Disclosure）

これは、Kastenデータベース内のこの脆弱性に関連付けられたKnowledge Entry Vulnerability（KEV）エントリがないことを示します。これは、脆弱性が比較的新しいか、あまり知られていない可能性があることを意味します。

mbCONNECT24 の CVE-2026-33617 による影響を受けていますか？

直接的なエンドポイントはありませんが、認証情報は他の攻撃や情報と組み合わせることでデータベースにアクセスするために使用される可能性があります。

mbCONNECT24 の CVE-2026-33617 を修正するにはどうすればよいですか？

構成ファイルへのアクセスを制限し、システムアクティビティを監視するなど、軽減策を実装してください。

CVE-2026-33617 は積極的に悪用されていますか？

セキュリティ構成を定期的にレビューおよび更新し、堅牢なアクセス制御を実装し、データベースの認証情報を暗号化することを検討してください。

CVE-2026-33617 に関する mbCONNECT24 の公式アドバイザリはどこで確認できますか？

公開アクセス可能な構成ファイルを識別できる脆弱性スキャナがあります。具体的な推奨事項については、セキュリティの専門家にご相談ください。