nvd
Mbconnectline
Уязвимости
52
Эксплуатируемые
0
Критический
6
Высокий
22
Топ продуктов
Mbconnect2438Mymbconnect2438Mbnet.mini13Mbnet.mini Firmware13Mbdialup2Mbnet2Mbnet Firmware2Mbnet Hw12Mbnet Hw1 Firmware2Mbnet.rokey2Mbnet.rokey Firmware2Mbspider Mdh 9052Mbspider Mdh 905 Firmware2Mbspider Mdh 9062Mbspider Mdh 906 Firmware2Mbspider Mdh 9152Mbspider Mdh 915 Firmware2Mbspider Mdh 9162Mbspider Mdh 916 Firmware2
Топ уязвимостей
CVE-2024-45275Устройства содержат две жестко закодированные учетные записи пользователей с жестко закодированными паролями, что позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, получить полный контроль над уязвимыми устройствами.
CVE-2024-45274Удаленный злоумышленник, не прошедший проверку подлинности, может выполнять команды ОС через UDP на устройстве из-за отсутствия аутентификации.
CVE-2021-33527В MB connect line mbDIALUP версий <= 3.9R0.0 удаленный злоумышленник может отправить специально созданный HTTP-запрос службе, работающей с NT AUTHORITY\SYSTEM, который не будет правильно проверять ввод. Это может привести к произвольному выполнению кода с привилегиями службы.
CVE-2020-35565Проблема обнаружена в MB CONNECT LINE mymbCONNECT24 и mbCONNECT24 до версии 2.6.2. Обнаружение перебора страниц входа отключено по умолчанию.
CVE-2020-10383В программном обеспечении MB CONNECT LINE mymbCONNECT24 и mbCONNECT24 во всех версиях до 2.5.0 обнаружена проблема. Существует не прошедшее аутентификацию удаленное выполнение кода в модуле com_mb24sysapi.
CVE-2026-33615Неаутентифицированный удаленный злоумышленник может использовать неаутентифицированную уязвимость SQL Injection в конечной точке setinfo из-за неправильной нейтрализации специальных элементов в команде SQL UPDATE. Это может привести к полной потере целостности и доступности.
CVE-2026-33613Из-за неправильной нейтрализации специальных элементов, используемых в команде ОС, удаленный злоумышленник может использовать уязвимость RCE в функции генерации SrpArray, что приводит к полной компенсации системы.
Эта уязвимость может быть атакована только в том случае, если у злоумышленника есть какой-то другой способ записать произвольные данные в таблицу пользователя.
CVE-2023-0985Уязвимость обхода авторизации была обнаружена в MB Connect Lines mbCONNECT24, mymbCONNECT24 и Helmholz' myREX24 и myREX24.virtual версии <= 2.13.3. Аутентифицированный удаленный пользователь с низкими привилегиями может изменить пароль любого пользователя в той же учетной записи. Это позволяет захватить учетную запись администратора и, следовательно, полностью скомпрометировать учетную запись.
CVE-2020-10382В программном обеспечении MB CONNECT LINE mymbCONNECT24 и mbCONNECT24 во всех версиях до 2.5.0 обнаружена проблема. Существует прошедшее аутентификацию удаленное выполнение кода в планировщике резервного копирования.
CVE-2024-45273Не прошедший проверку подлинности локальный злоумышленник может расшифровать файл конфигурации устройства и, следовательно, скомпрометировать устройство из-за слабой реализации используемого шифрования.
CVE-2024-45271Не прошедший проверку подлинности локальный злоумышленник может получить права администратора, развернув файл конфигурации из-за неправильной проверки ввода.
CVE-2021-33526В MB connect line mbDIALUP версий <= 3.9R0.0 локальный злоумышленник с низкими привилегиями может отправить команду службе, работающей с NT AUTHORITY\SYSTEM, предписывающую ей выполнить вредоносную конфигурацию OpenVPN, что приведет к произвольному выполнению кода с привилегиями службы.
CVE-2020-35567Проблема обнаружена в MB CONNECT LINE mymbCONNECT24 и mbCONNECT24 до версии 2.6.2. Программное обеспечение использует безопасный пароль для доступа к базе данных, но этот пароль используется совместно для всех экземпляров.
CVE-2020-10384В программном обеспечении MB CONNECT LINE mymbCONNECT24 и mbCONNECT24 во всех версиях до 2.6.1 обнаружена проблема. Существует локальное повышение привилегий из учетной записи www-data в учетную запись root.
CVE-2020-12528Проблема была обнаружена в программном обеспечении MB connect line mymbCONNECT24 и mbCONNECT24 во всех версиях до V2.6.2. Неправильное использование проверки доступа позволяет зарегистрированному пользователю завершать сеансы web2go в учетной записи, к которой у него не должно быть доступа.
CVE-2026-33616Неаутентифицированный удаленный злоумышленник может использовать неаутентифицированную уязвимость слепой инъекции SQL в конечной точке mb24api из-за неправильной нейтрализации специальных элементов в команде SQL SELECT. Это может привести к полной потере конфиденциальности.
CVE-2026-33614Неаутентифицированный удаленный злоумышленник может использовать неаутентифицированную уязвимость SQL Injection в конечной точке получения из-за неправильной нейтрализации специальных элементов в команде SQL SELECT. Это может привести к полной потере конфиденциальности.
CVE-2025-41679Уязвимость переполнения буфера в устройстве mbNET.mini, приводящая к отказу в обслуживании, который затрагивает только службу Conftool [1].
Удаленный злоумышленник может воспользоваться этой уязвимостью для вызова отказа в обслуживании. Уязвимость исправлена в версии прошивки 2.3.3.
Источники:
- [1] https://certvde.com/de/advisories/VDE-2025-058
CVE-2024-45276Удаленный злоумышленник, не прошедший проверку подлинности, может получить доступ для чтения к файлам в каталоге "/tmp" из-за отсутствия аутентификации.
CVE-2024-45272Удаленный злоумышленник, не прошедший проверку подлинности, может выполнить атаку методом грубой силы на учетные данные портала удаленного сервиса с высокой вероятностью успеха, что приведет к потере соединения.
CVE-2021-34580В mymbCONNECT24, mbCONNECT24 <= 2.9.0 неаутентифицированный пользователь может перечислять действительных пользователей серверной части, проверяя, какой ответ отправляет сервер для специально созданных недействительных попыток входа.
CVE-2021-34575В MB connect line mymbCONNECT24, mbCONNECT24 в версиях <= 2.8.0 неаутентифицированный пользователь может перечислять действительных пользователей, проверяя, какой ответ отправляет сервер.
CVE-2020-35564Проблема обнаружена в MB CONNECT LINE mymbCONNECT24 и mbCONNECT24 до версии 2.6.2. Существует устаревший и неиспользуемый компонент, позволяющий злоумышленнику вводить активный код.
CVE-2020-35558Проблема обнаружена в MB connect line mymbCONNECT24, mbCONNECT24 и Helmholz myREX24 и myREX24.virtual до версии 2.11.2. Существует SSRF в проверке доступа MySQL, позволяющий злоумышленнику сканировать открытые порты и получать некоторую информацию о возможных учетных данных.
CVE-2025-41678Уязвимость SQL-инъекции в WebAdmin системы Sophos Firewall версий старше 21.0 MR1 (21.0.1) может потенциально привести к выполнению произвольного кода администраторами [1].
Злоумышленник с высокими привилегиями может изменить базу данных конфигурации через POST-запросы из-за неправильной нейтрализации специальных элементов, используемых в SQL-запросе. Для устранения уязвимости необходимо обновить систему до исправленной версии.
Источники:
- [1] https://www.sophos.com/en-us/security-advisories/sophos-sa-20250721-sfos-rce