Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos MB connect line

Múltiples vulnerabilidades en productos MB connect line

Fecha de publicación: 
21/09/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • mymbCONNECT24, versión v2.6.1 y anteriores;
  • mbCONNECT24, versión v2.6.1 y anteriores.
Descripción: 

CERT@VDE ha coordinado las vulnerabilidades reportadas por OTORIO a MB connect line que podrían permitir a un atacante la divulgación de información.

Solución: 

Actualizar los productos afectados a una versión superior a la v2.6.1.

Detalle: 
  • Una vulnerabilidad de Inyección SQL ciega en knximport y en lancompenent que podría permitir a un atacante autenticado descubrir información arbitraria. Se han asignado los identificadores CVE-2020-24569 y CVE-2020-24568 para estas vulnerabilidades.
  • La vulnerabilidad de tipo Server-Side Request Forgery (SSRF) y Cross-Site Request Forgery (CSRF) podría permitir a un atacante robar la información de sesión por medio de enlaces especialmente diseñados. Se ha asignado el identificador CVE-2020-24570 para esta vulnerabilidad.
  • El uso de un software de terceros, obsoleto y sin usar, podría permitir la ejecución remota de código a través de una cadena de explotación.

Encuesta valoración