Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos de MB connect line

Múltiples vulnerabilidades en productos de MB connect line

Fecha de publicación: 
16/02/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • mymbCONNECT24, versiones 2.6.2 y anteriores;
  • mbCONNECT24, versiones 2.6.2 y anteriores.
Descripción: 

OTORIO ha comunicado a MB connect line, en coordinación con CERT@VDE, 2 vulnerabilidades de severidad baja, 14 vulnerabilidades de severidad media y 2 vulnerabilidades de severidad alta, que podrían permitir a un atacante realizar una escalada de privilegios o acceder a bases de datos.

Solución: 
  • Para la vulnerabilidad CVE-2020-10384, actualizar a la versión 2.6.2.
  • Para la vulnerabilidad CVE-2020-35567, no existe solución por el momento.
  • Para la vulnerabilidad CVE-2020-35565, se recomienda activar la detección de fuerza bruta como mitigación, al no disponer de una solución por el momento.
  • Para la vulnerabilidad CVE-2020-35561, se recomienda implementar un firewall como mitigación, al no contar una solución por el momento.
  • Para el resto de vulnerabilidades, actualizar a la versión 2.7.1.
Detalle: 
  • Una vulnerabilidad de tipo credenciales embebidas podría permitir a un atacante acceder a una base de datos, ya que la contraseña segura de acceso se comparte entre instancias. Se ha asignado el identificador CVE-2020-35567 para esta vulnerabilidad de severidad alta.
  • Una vulnerabilidad de gestión de privilegios inadecuada podría permitir a un atacante realizar una escalada de privilegios local desde la cuenta www-data a la cuenta root. Se ha asignado el identificador CVE-2020-10384 para esta vulnerabilidad de severidad alta.

Para las vulnerabilidades de severidad media se han asignado los identificadores: CVE-2020-35557, CVE-2020-12527, CVE-2020-12528, CVE-2020-35570, CVE-2020-35558, CVE-2020-12529, CVE-2020-35560, CVE-2020-12530, CVE-2020-35564, CVE-2020-35566, CVE-2020-35559, CVE-2020-35568, CVE-2020-35565 y CVE-2020-35561.

Para las vulnerabilidades de severidad baja se han asignado los identificadores: CVE-2020-35563 y CVE-2020-35569.

Encuesta valoración