Mitel针对MiCollab平台中新发现的漏洞CVE-2024-41713发布了重要安全公告。该路径遍历漏洞的 CVSS 得分为 9.8,它影响 MiCollab 的 NuPoint 统一消息传递 (NPM) 组件,未经身份验证的攻击者可能未经授权访问敏感信息,并可能在系统上执行管理操作。该漏洞的根源在于受影响组件中的输入验证不足。“该公告解释说:”由于输入验证不足,Mitel MiCollab 的 NuPoint Unified Messaging (NPM) 组件中存在一个路径遍历漏洞,未经授权的攻击者可利用该漏洞实施路径遍历攻击。该漏洞无需身份验证即可被利用,这大大增加了使用受影响产品版本的企业所面临的风险。如果被成功利用,攻击者可以访问配置信息,包括非敏感用户和网络详细信息,同时还可以在 MiCollab 服务器上执行未经授权的管理操作。公告警告说,该漏洞可能严重影响系统的保密性、完整性和可用性。发现该漏洞的功臣是 watchTowr 的 Sonny Macdonald,他的及时发现帮助 Mitel 注意到了这一关键问题Mitel 已敦促所有使用受影响版本的客户立即进行更新。“公告称:”Mitel 建议使用受影响产品版本的客户更新到最新版本。用户应升级到MiCollab 9.8 SP2 (9.8.2.12)或更高版本,以确保其系统免受此关键漏洞的影响。对于那些无法立即升级的用户,Mitel 还为 9.7 及以上版本提供了一个补丁,在完成全面升级之前提供了一个替代解决方案,同时确保了安全性。该补丁的详细说明可在 Mitel 的知识管理系统 (KMS) 中找到。我们鼓励各组织迅速采取行动,因为不打补丁的系统可能会导致未经授权的访问和严重的运行中断。
