Múltiples vulnerabilidades en varios productos de MB connect line

• Una vulnerabilidad de gestión de privilegios inadecuada en mbConnect24serv podría permitir a un atacante, local y con bajos privilegios, ejecutar una configuración de OpenVPN maliciosa mediante el envío de comandos al servicio que ejecuta NT AUTHORITY\SYSTEM y así, ejecutar código arbitrario con privilegios del servicio. Se ha asignado el identificador CVE-2021-33526 para esta vulnerabilidad.
• Una vulnerabilidad de neutralización inadecuada de elementos especiales utilizados en comandos del sistema operativo podría permitir a un atacante, local y con bajos privilegios, ejecutar código arbitrario con privilegios del servicio, mediante el envío de comandos al servicio que ejecuta NT AUTHORITY\SYSTEM. Se ha asignado el identificador CVE-2021-33527 para esta vulnerabilidad.
• Una vulnerabilidad de discrepancia observable podría permitir a un atacante no autenticado saber qué usuarios son legítimos comprobando el tipo de respuesta enviada por el servidor. Se ha asignado el identificador CVE-2021-34575 para esta vulnerabilidad.
• Una vulnerabilidad de restricción inadecuada de las operaciones dentro de los límites del búfer de memoria podría permitir a un atacante ejecutar código arbitrario con privilegios del proceso guacd, mediante el envío de paquetes especialmente diseñados cuando un usuario se conecta a un servidor RDP comprometido. Se ha asignado el identificador CVE-2020-9498 para esta vulnerabilidad.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-34574 y CVE-2020-9497.