Podatność w komponencie BluStar systemów Mitel InAttend (2.6 SP4–2.7) oraz CMG (8.5 SP4–8.6) umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń, zmianę konfiguracji systemu lub uzyskanie dostępu do wrażliwych danych. Krytyczny poziom CVSS 9.8 oraz brak wymagań uwierzytelnienia czynią tę podatność szczególnie niebezpieczną.
▸ Pokaż oryginał (EN)
A vulnerability in the BluStar component of Mitel InAttend 2.6 SP4 through 2.7 and CMG 8.5 SP4 through 8.6 could allow access to sensitive information, changes to the system configuration, or execution of arbitrary commands within the context of the system.
Podatność wynika z nieprawidłowej inicjalizacji domyślnej (CWE-1188), co oznacza, że komponent BluStar jest dostępny bez odpowiednich mechanizmów uwierzytelnienia lub z niezabezpieczonymi ustawieniami domyślnymi. Atakujący sieciowy, bez żadnych uprawnień i bez interakcji użytkownika, może poprzez odpowiednio spreparowane żądania uzyskać dostęp do funkcji systemowych. W efekcie możliwe jest wykonanie dowolnych poleceń w kontekście systemu operacyjnego.
Atakujący może uzyskać dostęp do poufnych informacji, wprowadzić nieautoryzowane zmiany w konfiguracji systemu lub wykonać dowolne polecenia z uprawnieniami systemu, co w praktyce oznacza pełne przejęcie kontroli nad urządzeniem.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje zawiera biuletyn bezpieczeństwa Mitel (Security Advisory 24-0003) dostępny pod adresem wskazanym w referencjach producenta.
Mitel InAttend w wersjach 2.6 SP4 do 2.7 oraz Mitel CMG w wersjach 8.5 SP4 do 8.6
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H