Plataforma
other
Componente
mbconnect24
Corrigido em
2.19.5
2.19.5
CVE-2026-33614 é uma vulnerabilidade de SQL Injection não autenticada no endpoint getinfo do mbCONNECT24. A exploração permite que um atacante remoto execute comandos SQL arbitrários, resultando em perda total de confidencialidade. Afeta versões de 0.0.0 a 2.19.4. Não há patch oficial disponível.
A vulnerabilidade CVE-2026-33614 afeta o mbCONNECT24, expondo uma falha crítica de Injeção SQL no endpoint 'getinfo'. Um atacante remoto, sem necessidade de autenticação, pode explorar esta vulnerabilidade devido à neutralização inadequada de caracteres especiais em comandos SQL SELECT. A gravidade da falha é classificada com um CVSS de 7.5, indicando um risco alto. A exploração bem-sucedida pode resultar em uma perda total da confidencialidade dos dados armazenados no banco de dados, incluindo informações sensíveis de usuários e do sistema. A ausência de uma solução (fix) disponível agrava a situação, exigindo atenção imediata para mitigar o risco. A falta de um KEV (Kernel Event) sugere que o problema não foi reconhecido oficialmente pelo fornecedor, dificultando ainda mais a obtenção de informações e soluções.
A vulnerabilidade reside no endpoint 'getinfo' do mbCONNECT24, que aparentemente é acessível sem autenticação. Um atacante pode manipular os parâmetros de entrada deste endpoint para injetar código SQL malicioso em consultas SELECT. A falta de validação e sanitização das entradas permite que os caracteres especiais SQL (como aspas simples, aspas duplas, pontos e vírgulas) sejam interpretados como parte da consulta, em vez de como dados. Isso permite que o atacante modifique a lógica da consulta, extraindo dados sensíveis, modificando registros ou até mesmo executando comandos arbitrários no banco de dados. A ausência de autenticação facilita enormemente a exploração, já que qualquer pessoa com acesso à rede pode tentar explorar a vulnerabilidade.
Status do Exploit
EPSS
0.06% (percentil 20%)
CISA SSVC
Vetor CVSS
Dado que não existe uma solução oficial (fix) fornecida pelo fornecedor do mbCONNECT24, as medidas de mitigação devem se concentrar na redução do risco de exploração. Recomenda-se fortemente isolar os sistemas afetados da rede pública para evitar acessos não autorizados. A implementação de firewalls e sistemas de detecção de intrusões (IDS) pode ajudar a identificar e bloquear tentativas de exploração. Realizar auditorias de segurança exaustivas do código-fonte e da configuração do sistema pode revelar possíveis pontos fracos adicionais. Considere a implementação de um Web Application Firewall (WAF) para filtrar tráfego malicioso direcionado ao endpoint 'getinfo'. Monitorar ativamente os registros do sistema em busca de atividades suspeitas relacionadas a injeções SQL é crucial. A comunicação com o fornecedor para solicitar uma solução é fundamental.
Actualice mbCONNECT24 a una versión posterior a la 2.19.4 para corregir la vulnerabilidad de inyección SQL. Consulte el aviso de seguridad del proveedor para obtener más detalles e instrucciones específicas de actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um identificador único para uma vulnerabilidade de segurança específica no software mbCONNECT24.
Permite que um atacante acesse informações confidenciais sem necessidade de autenticação, o que pode resultar em uma perda total da confidencialidade.
Isole o sistema da rede pública, implemente firewalls e WAFs e monitore os registros do sistema.
Atualmente, não existe uma solução oficial fornecida pelo fornecedor. Recomenda-se entrar em contato com o fornecedor para solicitar uma solução.
KEV é um identificador de eventos do kernel. A ausência de um KEV indica que o problema não foi reconhecido oficialmente pelo fornecedor.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.