CVE-2024-45273 – MB connect line/Helmholz: Weak encryption of configuration file
https://notcve.org/view.php?id=CVE-2024-45273
An unauthenticated local attacker can decrypt the devices config file and therefore compromise the device due to a weak implementation of the encryption used. Un atacante local no autenticado puede descifrar el archivo de configuración del dispositivo y, por lo tanto, comprometer el dispositivo debido a una implementación débil del cifrado utilizado. • https://cert.vde.com/en/advisories/VDE-2024-056 https://cert.vde.com/en/advisories/VDE-2024-066 https://cert.vde.com/en/advisories/VDE-2024-068 https://cert.vde.com/en/advisories/VDE-2024-069 • CWE-261: Weak Encoding for Password •
CVE-2024-45272 – MB connect line/Helmholz: Generation of weak passwords vulnerability
https://notcve.org/view.php?id=CVE-2024-45272
An unauthenticated remote attacker can perform a brute-force attack on the credentials of the remote service portal with a high chance of success, resulting in connection lost. Un atacante remoto no autenticado puede realizar un ataque de fuerza bruta a las credenciales del portal de servicio remoto con una alta probabilidad de éxito, lo que da como resultado la pérdida de la conexión. • https://cert.vde.com/en/advisories/VDE-2024-068 https://cert.vde.com/en/advisories/VDE-2024-069 • CWE-1391: Use of Weak Credentials •
CVE-2023-4834
https://notcve.org/view.php?id=CVE-2023-4834
In Red Lion Europe mbCONNECT24 and mymbCONNECT24 and Helmholz myREX24 and myREX24.virtual up to and including 2.14.2 an improperly implemented access validation allows an authenticated, low privileged attacker to gain read access to limited, non-critical device information in his account he should not have access to. En Red Lion Europe mbCONNECT24 y mymbCONNECT24 y Helmholz myREX24 y myREX24.virtual hasta la versión 2.14.2 incluida, una validación de acceso implementada incorrectamente permite a un atacante autenticado y con pocos privilegios obtener acceso de lectura a información limitada y no crítica del dispositivo a la que no debería tener acceso en su cuenta. • https://cert.vde.com/en/advisories/VDE-2023-041 https://cert.vde.com/en/advisories/VDE-2023-043 • CWE-269: Improper Privilege Management •
CVE-2022-22520 – User enumeration vulnerability in MB connect line and Helmholz products
https://notcve.org/view.php?id=CVE-2022-22520
A remote, unauthenticated attacker can enumerate valid users by sending specific requests to the webservice of MB connect line mymbCONNECT24, mbCONNECT24 and Helmholz myREX24 and myREX24.virtual in all versions through v2.11.2. Un atacante remoto no autenticado puede enumerar usuarios válidos mediante el envío de peticiones específicas al webservice de la línea de conexión MB mymbCONNECT24, mbCONNECT24 y Helmholz myREX24 y myREX24.virtual en todas las versiones hasta v2.11.2 • https://cert.vde.com/en/advisories/VDE-2022-011 https://cert.vde.com/en/advisories/VDE-2022-039 • CWE-204: Observable Response Discrepancy •
CVE-2021-34574 – Password policy evasion in products of MB connect line and Helmholz
https://notcve.org/view.php?id=CVE-2021-34574
In MB connect line mymbCONNECT24, mbCONNECT24 and Helmholz myREX24 and myREX24.virtual in all versions through v2.11.2 an authenticated attacker can change the password of his account into a new password that violates the password policy by intercepting and modifying the request that is send to the server. En MB connect line mymbCONNECT24, mbCONNECT24 y Helmholz myREX24 y myREX24.virtual en todas las versiones hasta la v2.11.2 un atacante autenticado puede cambiar la contraseña de su cuenta por una nueva que viole la política de contraseñas interceptando y modificando la petición que se envía al servidor. • https://cert.vde.com/en/advisories/VDE-2021-030 https://cert.vde.com/en/advisories/VDE-2022-039 • CWE-669: Incorrect Resource Transfer Between Spheres •