CVE-2024-41713 (CVSS 9.8): 未修补的 MiCollab 漏洞允许未经授权的访问

Mitel针对MiCollab平台中新发现的漏洞CVE-2024-41713发布了重要安全公告。该路径遍历漏洞的 CVSS 得分为 9.8,它影响 MiCollab 的 NuPoint 统一消息传递 (NPM) 组件,未经身份验证的攻击者可能未经授权访问敏感信息,并可能在系统上执行管理操作。

该漏洞的根源在于受影响组件中的输入验证不足。“该公告解释说:”由于输入验证不足,Mitel MiCollab 的 NuPoint Unified Messaging (NPM) 组件中存在一个路径遍历漏洞,未经授权的攻击者可利用该漏洞实施路径遍历攻击。该漏洞无需身份验证即可被利用,这大大增加了使用受影响产品版本的企业所面临的风险。

如果被成功利用,攻击者可以访问配置信息,包括非敏感用户和网络详细信息,同时还可以在 MiCollab 服务器上执行未经授权的管理操作。公告警告说,该漏洞可能严重影响系统的保密性、完整性和可用性。

发现该漏洞的功臣是 watchTowr 的 Sonny Macdonald,他的及时发现帮助 Mitel 注意到了这一关键问题

Mitel 已敦促所有使用受影响版本的客户立即进行更新。“公告称:”Mitel 建议使用受影响产品版本的客户更新到最新版本。用户应升级到MiCollab 9.8 SP2 (9.8.2.12)或更高版本,以确保其系统免受此关键漏洞的影响。

对于那些无法立即升级的用户,Mitel 还为 9.7 及以上版本提供了一个补丁,在完成全面升级之前提供了一个替代解决方案,同时确保了安全性。该补丁的详细说明可在 Mitel 的知识管理系统 (KMS) 中找到。

我们鼓励各组织迅速采取行动,因为不打补丁的系统可能会导致未经授权的访问和严重的运行中断。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐