mbCONNECT24 - CVE-2026-33615
Date de publication :
Il s'agit d'une vulnérabilité d'injection SQL non authentifiée dans l'endpoint setinfo de mbCONNECT24 et mymbCONNECT24.
mbCONNECT24 et mymbCONNECT24 sont des plateformes d'accès à distance industriel destinées à la maintenance et à la supervision d'équipements OT, ICS et biomédicaux. Elles permettent d'établir des tunnels VPN sécurisés vers des équipements industriels ou médicaux et sont utilisées par des prestataires de maintenance pour accéder à distance à leurs installations.
Les paramètres transmis à une commande SQL UPDATE ne sont pas correctement neutralisés avant leur incorporation dans la requête. L'endpoint est accessible sans authentification préalable. Un attaquant peut injecter des clauses SQL arbitraires dans la commande UPDATE, ciblant notamment la table utilisateurs, ce qui lui permet de modifier ou de supprimer des entrées en base.
Elle permet à un attaquant distant non authentifié de modifier ou supprimer des données en base de données et de provoquer une indisponibilité du service, avec une perte totale d'intégrité et de disponibilité.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Atteinte à l'intégrité des données
• Déni de service (à distance)
Exploitation
CWE-89 : Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• mbCONNECT24 firmware versions 2.19.4 et antérieures
• mymbCONNECT24 firmware versions 2.19.4 et antérieures