Krytyczna podatność typu SQL injection w komponencie NuPoint Messenger (NPM) platformy Mitel MiCollab umożliwia nieuwierzytelnionemu atakującemu przejęcie kontroli nad bazą danych. Ze względu na brak wymogu uwierzytelnienia i pełny wpływ na poufność, integralność i dostępność, podatność jest oceniana jako krytyczna (CVSS 9.8).
▸ Pokaż oryginał (EN)
A vulnerability in NuPoint Messenger (NPM) of Mitel MiCollab through 9.8.0.33 allows an unauthenticated attacker to conduct a SQL injection attack due to insufficient sanitization of user input. A successful exploit could allow an attacker to access sensitive information and execute arbitrary database and management operations.
Komponent NuPoint Messenger (NPM) w Mitel MiCollab nie przeprowadza wystarczającej walidacji i sanityzacji danych wejściowych dostarczanych przez użytkownika. Atakujący może wstrzyknąć złośliwy kod SQL w odpowiednie żądanie bez konieczności posiadania jakiegokolwiek konta lub poświadczeń. Podatność jest dostępna zdalnie przez sieć, bez konieczności interakcji ze strony ofiary, co znacząco obniża próg ataku.
Skuteczne wykorzystanie podatności pozwala atakującemu na uzyskanie nieautoryzowanego dostępu do wrażliwych danych przechowywanych w bazie danych oraz wykonanie dowolnych operacji na bazie danych i systemie zarządzania, co może prowadzić do kradzieży danych, ich modyfikacji lub całkowitego naruszenia integralności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły w biuletynie bezpieczeństwa Mitel Product Security Advisory 24-0014 dostępnym pod adresem: https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-24-0014
Mitel MiCollab w wersjach do 9.8.0.33 włącznie (komponent NuPoint Messenger — NPM)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMitel Micollab
APPMitel≤ 9.8.0.33
Powiązane podatności
Path Traversal w Mitel MiCollab — nieautoryzowany dostęp do danych
The TP-240 (aka tp240dvr) component in Mitel MiCollab before 9.4 SP1 FP1 and MiVoice Business Express through ...
Command Injection w Mitel MiCollab i MiVoice Business Solution Virtual Instance
Command injection w Mitel MiCollab NuPoint Messenger — dostęp bez uwierzytelnienia
SQL Injection w komponencie AWV Mitel MiCollab — dostęp bez uwierzytelnienia