Podatność path traversal w komponencie NuPoint Unified Messaging (NPM) systemu Mitel MiCollab umożliwia nieuwierzytelnionemu atakującemu dostęp do dowolnych zasobów serwera. Luka jest aktywnie eksploatowana i posiada ocenę CVSS 9.1 (krytyczna).
▸ Pokaż oryginał (EN)
A vulnerability in the NuPoint Unified Messaging (NPM) component of Mitel MiCollab through 9.8 SP1 FP2 (9.8.1.201) could allow an unauthenticated attacker to conduct a path traversal attack, due to insufficient input validation. A successful exploit could allow unauthorized access, enabling the attacker to view, corrupt, or delete users' data and system configurations.
Podatność wynika z niewystarczającej walidacji danych wejściowych w komponencie NPM systemu Mitel MiCollab. Atakujący bez żadnego uwierzytelnienia może wysyłać spreparowane żądania zawierające sekwencje path traversal (np. '../'), które pozwalają na wyjście poza dozwolony katalog i dostęp do dowolnych plików lub zasobów systemowych. Ze względu na brak wymogu interakcji użytkownika i uwierzytelnienia, atak może być przeprowadzony zdalnie przez sieć.
Skuteczny atak pozwala nieautoryzowanemu atakującemu na przeglądanie, modyfikowanie lub usuwanie danych użytkowników oraz konfiguracji systemowych. Może to prowadzić do poważnego naruszenia poufności i integralności danych przetwarzanych przez system.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły w komunikacie bezpieczeństwa Mitel MISA-2024-0029 dostępnym pod adresem https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-misa-2024-0029
Mitel MiCollab w wersjach do 9.8 SP1 FP2 (9.8.1.201) włącznie
Podatność została dodana do katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza aktywne wykorzystywanie jej w atakach. Podatność dotyczy komponentu NuPoint Unified Messaging (NPM) — organizacje używające tej funkcjonalności powinny traktować aktualizację priorytetowo.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NMitel Micollab
APPMitel≤ 9.8.1.201
CISA KEV — szczegółyi
- Dostawcai
- Mitel
- Produkti
- MiCollab
- Data dodania do KEVi
- 7 stycznia 2025
- Termin remediation (USA)i
- 28 stycznia 2025(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
Mitel MiCollab zawiera lukę path traversal, która może pozwolić atakującemu na uzyskanie nieautoryzowanego i nieuwierzytelnionego dostępu. Ta luka może być połączona z CVE-2024-55550, która umożliwia nieuwierzytelnionemu, zdalnemu atakującemu odczytanie dowolnych plików na serwerze.
▸ Pokaż oryginał (EN)
Mitel MiCollab contains a path traversal vulnerability that could allow an attacker to gain unauthorized and unauthenticated access. This vulnerability can be chained with CVE-2024-55550, which allows an unauthenticated, remote attacker to read arbitrary files on the server.
Powiązane podatności
The TP-240 (aka tp240dvr) component in Mitel MiCollab before 9.4 SP1 FP1 and MiVoice Business Express through ...
SQL Injection w Mitel MiCollab NuPoint Messenger — dostęp bez uwierzytelnienia
Command injection w Mitel MiCollab NuPoint Messenger — dostęp bez uwierzytelnienia
Command Injection w Mitel MiCollab i MiVoice Business Solution Virtual Instance
SQL Injection w komponencie AWV Mitel MiCollab — dostęp bez uwierzytelnienia