Platform
other
Component
mbconnect24
Opgelost in
2.19.5
2.19.5
CVE-2026-33614 is een SQL Injection kwetsbaarheid in mbCONNECT24. Een niet-geauthenticeerde aanvaller kan misbruik maken van deze kwetsbaarheid om gevoelige informatie te stelen, wat kan leiden tot volledig verlies van vertrouwelijkheid. De kwetsbaarheid treft versies 0.0.0 tot en met 2.19.4 van mbCONNECT24. Er is momenteel geen officiële patch beschikbaar.
CVE-2026-33614 treft mbCONNECT24 en onthult een kritieke SQL-injectie kwetsbaarheid in de 'getinfo' endpoint. Een niet-geauthenticeerde externe aanvaller kan deze kwetsbaarheid misbruiken vanwege een onjuiste neutralisatie van speciale tekens in SQL SELECT-commando's. De ernst van de kwetsbaarheid wordt beoordeeld met een CVSS-score van 7,5, wat een hoog risico aangeeft. Een succesvolle exploitatie kan leiden tot een volledig verlies van de vertrouwelijkheid van gegevens die in de database zijn opgeslagen, inclusief gevoelige gebruikers- en systeemgegevens. Het ontbreken van een beschikbare fix verergert de situatie en vereist onmiddellijke aandacht om het risico te beperken. Het ontbreken van een KEV (Kernel Event) suggereert dat het probleem niet officieel is erkend door de leverancier, wat het moeilijker maakt om informatie en oplossingen te verkrijgen.
De kwetsbaarheid bevindt zich in de 'getinfo' endpoint van mbCONNECT24, die schijnbaar toegankelijk is zonder authenticatie. Een aanvaller kan de invoerparameters van deze endpoint manipuleren om kwaadaardige SQL-code in SELECT-query's te injecteren. Het ontbreken van invoervalidatie en -sanering maakt het mogelijk dat speciale SQL-tekens (zoals enkele aanhalingstekens, dubbele aanhalingstekens, punten en puntkomma's) worden geïnterpreteerd als onderdeel van de query, in plaats van als gegevens. Dit stelt de aanvaller in staat om de querylogica te wijzigen, gevoelige gegevens te extraheren, records te wijzigen of zelfs willekeurige commando's op de database uit te voeren. Het ontbreken van authenticatie vergemakkelijkt de exploitatie aanzienlijk, aangezien iedereen met netwerktoegang kan proberen de kwetsbaarheid te exploiteren.
Exploit Status
EPSS
0.06% (20% percentiel)
CISA SSVC
CVSS-vector
Aangezien er geen officiële fix wordt geleverd door de mbCONNECT24-leverancier, moeten de mitigerende maatregelen zich richten op het verminderen van het risico op exploitatie. We raden ten zeerste aan om getroffen systemen te isoleren van het openbare netwerk om ongeautoriseerde toegang te voorkomen. Het implementeren van firewalls en intrusion detection systems (IDS) kan helpen bij het identificeren en blokkeren van exploitatiepogingen. Grondige beveiligingsaudits van de broncode en systeemconfiguratie kunnen aanvullende potentiële zwakke punten aan het licht brengen. Overweeg het implementeren van een Web Application Firewall (WAF) om kwaadaardig verkeer dat op de 'getinfo' endpoint is gericht, te filteren. Actief monitoren van systeemlogboeken op verdachte activiteiten in verband met SQL-injectie is cruciaal. Communicatie met de leverancier om een oplossing aan te vragen is essentieel.
Actualice mbCONNECT24 a una versión posterior a la 2.19.4 para corregir la vulnerabilidad de inyección SQL. Consulte el aviso de seguridad del proveedor para obtener más detalles e instrucciones específicas de actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een unieke identificatie voor een specifieke beveiligingskwetsbaarheid in de mbCONNECT24-software.
Het stelt een aanvaller in staat om toegang te krijgen tot vertrouwelijke informatie zonder authenticatie, wat kan leiden tot een volledig verlies van vertrouwelijkheid.
Isoleer het systeem van het openbare netwerk, implementeer firewalls en WAF's en monitor systeemlogboeken.
Momenteel is er geen officiële fix beschikbaar gesteld door de leverancier. Het wordt aanbevolen om contact op te nemen met de leverancier om een fix aan te vragen.
KEV is een kernel event identifier. Het ontbreken van een KEV geeft aan dat het probleem niet officieel is erkend door de leverancier.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.