CRITICAL✓ PATCH🇬🇧 English

CVE-2024-35285

Command injection w Mitel MiCollab NuPoint Messenger — dostęp bez uwierzytelnienia

CVSS 9.8v3.1pub. 2024-10-21upd. 2025-07-07

Podatność w komponencie NuPoint Messenger (NPM) platformy Mitel MiCollab umożliwia nieuwierzytelnionemu atakującemu wykonanie dowolnych poleceń systemowych. Krytyczny wynik CVSS 9.8 wynika z faktu, że atak jest możliwy zdalnie, bez jakichkolwiek uprawnień ani interakcji ze strony użytkownika.

Pokaż oryginał (EN)

A vulnerability in NuPoint Messenger (NPM) of Mitel MiCollab through 9.8.0.33 allows an unauthenticated attacker to conduct a command injection attack due to insufficient parameter sanitization.

🤖 Analiza AI
Jak działa

Luka wynika z niedostatecznej sanityzacji parametrów wejściowych w komponencie NuPoint Messenger. Atakujący może przekazać specjalnie spreparowane dane wejściowe zawierające złośliwe polecenia systemowe (command injection), które następnie są wykonywane przez aplikację w kontekście serwera. Brak weryfikacji tożsamości użytkownika (auth bypass) sprawia, że atak jest dostępny dla każdego, kto ma sieciowy dostęp do systemu.

Skutki

Atakujący może przejąć pełną kontrolę nad podatnym systemem — uzyskać dostęp do poufnych danych, modyfikować zasoby serwera lub zakłócić jego dostępność, co odpowiada pełnemu naruszeniu poufności, integralności i dostępności.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły w biuletynie bezpieczeństwa Mitel Product Security Advisory 24-0013 dostępnym pod adresem: https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-24-0013

Kogo dotyczy

Mitel MiCollab w wersjach do 9.8.0.33 włącznie (komponent NuPoint Messenger)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mitel Micollab

    APP
    Mitel
    ≤ 9.8.0.33
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-41713CRITICAL9.1⚠ KEVPL ✓ten sam produkt

Path Traversal w Mitel MiCollab — nieautoryzowany dostęp do danych

CVE-2022-26143CRITICAL9.8⚠ KEVten sam produkt

The TP-240 (aka tp240dvr) component in Mitel MiCollab before 9.4 SP1 FP1 and MiVoice Business Express through ...

CVE-2024-35314CRITICAL9.8PL ✓ten sam produkt

Command Injection w Mitel MiCollab i MiVoice Business Solution Virtual Instance

CVE-2024-35286CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Mitel MiCollab NuPoint Messenger — dostęp bez uwierzytelnienia

CVE-2024-47223CRITICAL9.4PL ✓ten sam produkt

SQL Injection w komponencie AWV Mitel MiCollab — dostęp bez uwierzytelnienia