Kritisk sårbarhet i Mitel MiCollab

Mitel informerar om två sårbarheter i samarbetsapplikationen MiCollab, varav en kritisk.

Den kritiska sårbarheten (CVE-2024-41713) har en CVSS-klassning på 9,8 och återfinns i NuPoint Unified Messaging-kompontenten i programvaran. Utöver detta åtgärdas en sårbarhet med lägre CVSS (2,7), denna har ännu ingen CVE tilldelad. [1]

Om sårbarheterna utnyttjas kan det möjliggöra för en angripare att kringgå autentisering och läsa interna databaser och känsliga filer på sårbara system.

Proof-of-concept-kod har publicerats, som utnyttjar båda sårbarheterna i kombination.

Mitel skriver att CVE-2024-41713 åtgärdas i och med MiCollab 9.8 SP2 (9.8.2.12). Sårbarheten med lägre CVSS åtgärdas delvis, och ska enligt Mitel adresseras i kommande uppdateringar. [2]

Påverkade produkter

MiCollab 9.8 SP1 FP2 (9.8.1.201) och tidigare versioner [2]

Rekommendationer

CERT-SE rekommenderar att undersöka om det finns sårbara installationer i er it-miljö och i så fall omgående följa tillverkarens rekommendationer för att undvika påverkan.

Källor

[1] https://labs.watchtowr.com/where-theres-smoke-theres-fire-mitel-micollab-cve-2024-35286-cve-2024-41713-and-an-0day

[2] https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-misa-2024-0029