CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2024-41713

Path Traversal w Mitel MiCollab — nieautoryzowany dostęp do danych

CVSS 9.1v3.1pub. 2024-10-21upd. 2025-11-04

Podatność path traversal w komponencie NuPoint Unified Messaging (NPM) systemu Mitel MiCollab umożliwia nieuwierzytelnionemu atakującemu dostęp do dowolnych zasobów serwera. Luka jest aktywnie eksploatowana i posiada ocenę CVSS 9.1 (krytyczna).

Pokaż oryginał (EN)

A vulnerability in the NuPoint Unified Messaging (NPM) component of Mitel MiCollab through 9.8 SP1 FP2 (9.8.1.201) could allow an unauthenticated attacker to conduct a path traversal attack, due to insufficient input validation. A successful exploit could allow unauthorized access, enabling the attacker to view, corrupt, or delete users' data and system configurations.

🤖 Analiza AI
Jak działa

Podatność wynika z niewystarczającej walidacji danych wejściowych w komponencie NPM systemu Mitel MiCollab. Atakujący bez żadnego uwierzytelnienia może wysyłać spreparowane żądania zawierające sekwencje path traversal (np. '../'), które pozwalają na wyjście poza dozwolony katalog i dostęp do dowolnych plików lub zasobów systemowych. Ze względu na brak wymogu interakcji użytkownika i uwierzytelnienia, atak może być przeprowadzony zdalnie przez sieć.

Skutki

Skuteczny atak pozwala nieautoryzowanemu atakującemu na przeglądanie, modyfikowanie lub usuwanie danych użytkowników oraz konfiguracji systemowych. Może to prowadzić do poważnego naruszenia poufności i integralności danych przetwarzanych przez system.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły w komunikacie bezpieczeństwa Mitel MISA-2024-0029 dostępnym pod adresem https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-misa-2024-0029

Kogo dotyczy

Mitel MiCollab w wersjach do 9.8 SP1 FP2 (9.8.1.201) włącznie

Uwagi

Podatność została dodana do katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza aktywne wykorzystywanie jej w atakach. Podatność dotyczy komponentu NuPoint Unified Messaging (NPM) — organizacje używające tej funkcjonalności powinny traktować aktualizację priorytetowo.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Mitel Micollab

    APP
    Mitel
    ≤ 9.8.1.201

CISA KEV — szczegółyi

Dostawcai
Mitel
Produkti
MiCollab
Data dodania do KEVi
7 stycznia 2025
Termin remediation (USA)i
28 stycznia 2025(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Mitel MiCollab zawiera lukę path traversal, która może pozwolić atakującemu na uzyskanie nieautoryzowanego i nieuwierzytelnionego dostępu. Ta luka może być połączona z CVE-2024-55550, która umożliwia nieuwierzytelnionemu, zdalnemu atakującemu odczytanie dowolnych plików na serwerze.

tłumaczenie AI
Pokaż oryginał (EN)

Mitel MiCollab contains a path traversal vulnerability that could allow an attacker to gain unauthorized and unauthenticated access. This vulnerability can be chained with CVE-2024-55550, which allows an unauthenticated, remote attacker to read arbitrary files on the server.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 28 stycznia 2025
Tagi
Path TraversalAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2022-26143CRITICAL9.8⚠ KEVten sam produkt

The TP-240 (aka tp240dvr) component in Mitel MiCollab before 9.4 SP1 FP1 and MiVoice Business Express through ...

CVE-2024-35286CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Mitel MiCollab NuPoint Messenger — dostęp bez uwierzytelnienia

CVE-2024-35285CRITICAL9.8PL ✓ten sam produkt

Command injection w Mitel MiCollab NuPoint Messenger — dostęp bez uwierzytelnienia

CVE-2024-35314CRITICAL9.8PL ✓ten sam produkt

Command Injection w Mitel MiCollab i MiVoice Business Solution Virtual Instance

CVE-2024-47223CRITICAL9.4PL ✓ten sam produkt

SQL Injection w komponencie AWV Mitel MiCollab — dostęp bez uwierzytelnienia