平台
other
组件
mbconnect24
修复版本
2.19.5
2.19.5
CVE-2026-33614是一个SQL注入漏洞,存在于mbCONNECT24的getinfo端点中。由于SQL SELECT命令中特殊元素未被正确中和,未经身份验证的远程攻击者可以利用此漏洞。成功利用可能导致机密性的完全丧失。受影响的版本包括0.0.0–2.19.4。目前没有可用的官方补丁。
CVE-2026-33614 影响 mbCONNECT24,暴露了 'getinfo' 端点中的关键 SQL 注入漏洞。未经身份验证的远程攻击者可以利用此漏洞,因为 SQL SELECT 命令中特殊字符的无效化不当。漏洞的严重程度以 CVSS 评分 7.5 评定,表明高风险。成功利用可能导致存储在数据库中的数据机密性完全丧失,包括用户和系统敏感信息。缺乏可用的修复程序 (fix) 恶化了情况,需要立即采取措施来降低风险。缺乏 KEV (Kernel Event) 表明此问题尚未由供应商正式承认,从而难以获取信息和解决方案。
该漏洞存在于 mbCONNECT24 的 'getinfo' 端点中,该端点似乎可以无需身份验证访问。攻击者可以操纵此端点的输入参数,将恶意 SQL 代码注入到 SELECT 查询中。缺乏输入验证和清理允许 SQL 特殊字符(例如单引号、双引号、点和分号)被解释为查询的一部分,而不是数据。这使得攻击者能够修改查询逻辑、提取敏感数据、修改记录或在数据库上执行任意命令。缺乏身份验证极大地简化了利用过程,因为任何拥有网络访问权限的人都可以尝试利用此漏洞。
漏洞利用状态
EPSS
0.06% (20% 百分位)
CISA SSVC
由于 mbCONNECT24 供应商未提供官方修复程序 (fix),因此缓解措施应侧重于降低利用风险。我们强烈建议将受影响的系统从公共网络隔离,以防止未经授权的访问。实施防火墙和入侵检测系统 (IDS) 可以帮助识别和阻止利用尝试。对源代码和系统配置进行彻底的安全审计可以揭示潜在的额外漏洞。考虑实施 Web 应用程序防火墙 (WAF) 以过滤针对 'getinfo' 端点的恶意流量。积极监控系统日志中与 SQL 注入相关的可疑活动至关重要。联系供应商以请求解决方案至关重要。
Actualice mbCONNECT24 a una versión posterior a la 2.19.4 para corregir la vulnerabilidad de inyección SQL. Consulte el aviso de seguridad del proveedor para obtener más detalles e instrucciones específicas de actualización.
漏洞分析和关键警报直接发送到您的邮箱。
这是 mbCONNECT24 软件中特定安全漏洞的唯一标识符。
它允许攻击者在未经身份验证的情况下访问机密信息,从而可能导致机密性完全丧失。
将系统从公共网络隔离,实施防火墙和 WAF,并监控系统日志。
目前,供应商未提供官方修复程序。建议联系供应商以请求修复程序。
KEV 是内核事件标识符。缺乏 KEV 表明供应商尚未正式承认此问题。
CVSS 向量