平台
other
组件
mbconnect24
修复版本
2.19.5
2.19.5
CVE-2026-33616是一个盲注SQL注入漏洞,存在于mbCONNECT24的mb24api端点中。由于SQL SELECT命令中特殊元素未被正确中和,未经身份验证的远程攻击者可以利用此漏洞。成功利用可能导致机密性的完全丧失。受影响的版本包括0.0.0–2.19.4。目前没有可用的官方补丁。
CVE-2026-33616 在 mbCONNECT24 中代表着一个关键的安全风险。未经身份验证的远程攻击者可以利用 mb24api 端点中的盲 SQL 注入漏洞,这是由于 SQL SELECT 命令中特殊元素未得到适当的消除造成的。成功利用此漏洞可能导致存储数据的机密性完全丧失,包括客户和运营敏感信息。CVSS 严重程度评分为 7.5,表明风险较高。缺乏可用的修复程序加剧了这种情况,需要立即采取措施来降低风险。
该漏洞位于 mb24api 端点,并通过盲 SQL 注入进行利用。这意味着攻击者不会为每个注入尝试从数据库接收直接响应,而是必须通过应用程序逻辑推断信息。攻击者可以使用暴力破解技术或错误分析从数据库中提取敏感数据,例如用户名、密码、客户信息和财务数据。为了利用该漏洞而无需身份验证,这使其特别危险,因为任何具有网络访问权限的攻击者都可以尝试利用它。SQL 注入的盲目性使得检测更加困难,因为它不会在日志中生成明显的 SQL 错误。
Organizations utilizing mbCONNECT24 for heating system management, particularly those with internet-exposed instances or those using default configurations, are at significant risk. Shared hosting environments where multiple customers share the same mbCONNECT24 instance are especially vulnerable, as a compromise of one customer could potentially impact others.
• linux / server:
journalctl -u mbCONNECT24 -g "SQL injection"• generic web:
curl -I <mbCONNECT24_endpoint> | grep -i "SQL injection"disclosure
漏洞利用状态
EPSS
0.06% (20% 百分位)
CISA SSVC
由于供应商未针对 CVE-2026-33616 提供官方修复程序,因此使用 mbCONNECT24 的组织必须实施替代的风险缓解措施。这些措施包括对 mb24api 端点进行网络分段以限制访问,部署 Web 应用程序防火墙 (WAF) 以过滤恶意流量,以及持续监控端点是否存在可疑活动。应应用定期安全审计和最小权限原则以减少攻击面。强烈建议联系 mbCONNECT24 供应商以请求安全更新并报告漏洞。如果 mb24api 端点对运营并非至关重要,请考虑暂时禁用它。
Actualice mbCONNECT24 a una versión posterior a la 2.19.4. Esto corregirá la vulnerabilidad de inyección SQL y protegerá la confidencialidad de los datos.
漏洞分析和关键警报直接发送到您的邮箱。
这是一种攻击类型,攻击者不会从数据库接收直接响应,而是通过应用程序逻辑推断信息。
缺乏身份验证以及数据机密性完全丧失的可能性使其成为关键风险。
实施替代的风险缓解措施,例如网络分段、WAF 和监控。联系供应商以获取更新。
目前,供应商未提供官方修复程序。
监控 mb24api 端点是否存在可疑活动,并检查安全日志是否存在异常模式。
CVSS 向量