全球领先的商业通信公司Mitel发布了一份重要的安全公告,指出其MiCollab软件中存在一个严重的SQL注入漏洞,该漏洞特别影响音频、网络和视频会议(AWV)组件。该漏洞被命名为 CVE-2024-47223,CVSS 得分为 9.4,表明一旦被利用将可能造成重大损失。
该漏洞源于对用户输入的 sanitization 不足,允许未经认证的攻击者通过特制 URL 进行 SQL 注入攻击。
Mitel 在其公告中警告说:“成功利用该漏洞需要特制的 URL,并可能对系统的保密性、完整性和可用性造成影响。鉴于 MiCollab 被广泛用于企业环境中的协作和会议解决方案,因此该风险尤为突出。”
如果攻击者成功利用了 CVE-2024-47223,他们就可以在未经授权的情况下访问用户名和电子邮件地址等非敏感用户配置数据。然而,潜在的危害还不止于此。Mitel 的公告称,攻击者还可以 “运行任意 SQL 数据库查询来破坏或删除表,从而可能导致 MiCollab 系统无法运行。
鉴于该漏洞的严重性,Mitel 强烈建议其客户更新到最新的 MiCollab 版本。该公告指出:“Mitel 建议受影响产品版本的客户更新到最新版本”,并强调 MiCollab 9.8 SP2 之前的版本存在漏洞。
OSI Security公司的Patrick Webster发现并报告了这一漏洞,他的及时发现引起了Mitel的注意。
对于无法立即升级的客户,Mitel 还为 9.8、9.8 SP1 和 9.8 SP1FP1 版本提供了临时补丁,以降低风险。该补丁可通过 Mitel 的知识管理系统获取,并提供了帮助保护受影响系统的具体说明。
转自安全客,原文链接:https://www.anquanke.com/post/id/300846
封面来源于网络,如有侵权请联系删除
