CRITICAL✓ PATCH🇬🇧 English

CVE-2024-35314

Command Injection w Mitel MiCollab i MiVoice Business Solution Virtual Instance

CVSS 9.8v3.1pub. 2024-10-21upd. 2025-07-07

Podatność typu command injection w kliencie Desktop aplikacji Mitel MiCollab (do wersji 9.7.1.110) oraz MiVoice Business Solution Virtual Instance (wersja 1.0.0.25) umożliwia nieuwierzytelnionemu atakującemu wykonanie dowolnych skryptów. Krytyczny poziom zagrożenia wynika z braku wymagania uwierzytelnienia oraz pełnej triady wpływu (poufność, integralność, dostępność).

Pokaż oryginał (EN)

A vulnerability in the Desktop Client of Mitel MiCollab through 9.7.1.110, and MiVoice Business Solution Virtual Instance (MiVB SVI) 1.0.0.25, could allow an unauthenticated attacker to conduct a command injection attack due to insufficient parameter sanitization. A successful exploit requires user interaction and could allow an attacker to execute arbitrary scripts.

🤖 Analiza AI
Jak działa

Podatność powstała wskutek niewystarczającej sanityzacji parametrów wejściowych w kliencie Desktop (CWE-94 — improper control of code generation). Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które zostaną zinterpretowane jako polecenia lub skrypty przez podatną aplikację. Eksploatacja wymaga interakcji użytkownika (np. otwarcia spreparowanego linku lub pliku), jednak sam atakujący nie potrzebuje żadnego wcześniejszego uwierzytelnienia.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na wykonanie dowolnych skryptów w kontekście aplikacji na urządzeniu ofiary, co może prowadzić do naruszenia poufności danych, modyfikacji zasobów systemowych oraz zakłócenia dostępności usług.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Mitel w biuletynie bezpieczeństwa Security Bulletin 24-0015-001 (dostępnym pod adresem wskazanym w referencjach). Do czasu wdrożenia poprawki zaleca się ograniczenie możliwości uruchamiania klienta Desktop w środowiskach narażonych na niezaufane dane wejściowe.

Kogo dotyczy

Mitel MiCollab Desktop Client w wersji do 9.7.1.110 włącznie oraz Mitel MiVoice Business Solution Virtual Instance (MiVB SVI) w wersji 1.0.0.25.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mitel Micollab

    APP
    Mitel
    ≤ 9.7.1.110
  • Mitel Mivoice Business Solution Virtual Instance

    APP
    Mitel
    1.0.0.25
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-41713CRITICAL9.1⚠ KEVPL ✓ten sam produkt

Path Traversal w Mitel MiCollab — nieautoryzowany dostęp do danych

CVE-2022-26143CRITICAL9.8⚠ KEVten sam produkt

The TP-240 (aka tp240dvr) component in Mitel MiCollab before 9.4 SP1 FP1 and MiVoice Business Express through ...

CVE-2024-35286CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Mitel MiCollab NuPoint Messenger — dostęp bez uwierzytelnienia

CVE-2024-35285CRITICAL9.8PL ✓ten sam produkt

Command injection w Mitel MiCollab NuPoint Messenger — dostęp bez uwierzytelnienia

CVE-2024-47223CRITICAL9.4PL ✓ten sam produkt

SQL Injection w komponencie AWV Mitel MiCollab — dostęp bez uwierzytelnienia