Fecha de publicación: 16/02/2021

Importancia:Alta

Recursos afectados:

• mymbCONNECT24, versiones 2.6.2 y anteriores;
• mbCONNECT24, versiones 2.6.2 y anteriores.

Descripción:

OTORIO ha comunicado a MB connect line, en coordinación con CERT@VDE, 2 vulnerabilidades de severidad baja, 14 vulnerabilidades de severidad media y 2 vulnerabilidades de severidad alta, que podrían permitir a un atacante realizar una escalada de privilegios o acceder a bases de datos.

Solución:

• Para la vulnerabilidad CVE-2020-10384, actualizar a la versión 2.6.2.
• Para la vulnerabilidad CVE-2020-35567, no existe solución por el momento.
• Para la vulnerabilidad CVE-2020-35565, se recomienda activar la detección de fuerza bruta como mitigación, al no disponer de una solución por el momento.
• Para la vulnerabilidad CVE-2020-35561, se recomienda implementar un firewall como mitigación, al no contar una solución por el momento.
• Para el resto de vulnerabilidades, actualizar a la versión 2.7.1.

Detalle:

• Una vulnerabilidad de tipo credenciales embebidas podría permitir a un atacante acceder a una base de datos, ya que la contraseña segura de acceso se comparte entre instancias. Se ha asignado el identificador CVE-2020-35567 para esta vulnerabilidad de severidad alta.
• Una vulnerabilidad de gestión de privilegios inadecuada podría permitir a un atacante realizar una escalada de privilegios local desde la cuenta www-data a la cuenta root. Se ha asignado el identificador CVE-2020-10384 para esta vulnerabilidad de severidad alta.

Para las vulnerabilidades de severidad media se han asignado los identificadores: CVE-2020-35557, CVE-2020-12527, CVE-2020-12528, CVE-2020-35570, CVE-2020-35558, CVE-2020-12529, CVE-2020-35560, CVE-2020-12530, CVE-2020-35564, CVE-2020-35566, CVE-2020-35559, CVE-2020-35568, CVE-2020-35565 y CVE-2020-35561.

Para las vulnerabilidades de severidad baja se han asignado los identificadores: CVE-2020-35563 y CVE-2020-35569.

Etiquetas:Actualización, Infraestructuras críticas, Vulnerabilidad