Micollab
Уязвимости
48
Эксплуатируемые
4
Макс. CVSS
9.8
Макс. EPSS
0.99999
Распределение по критичности
Критический
11
Высокий
11
Средний
24
Низкий
2
Затронутые диапазоны версий
7.1–7.1.0.577.3–7.3.0.6019.1.3–9.5.0.101< 9.0.15< 9.1.3< 9.1.332< 9.2< 9.3< 9.4< 9.6< 9.7< 9.8.3.103≤ 9.2≤ 9.5.0.101≤ 9.6.0.105≤ 9.7.1.110≤ 9.8.0.33≤ 9.8.1.201≤ 9.8.1.5
Также сопоставлено как (исходные строки): mivoice,mivoice_border_gateway,mivoice_business,mivoice_connect,open_integration_gateway,micloud_management_portal,micollab,mivoice_business_solution_virtual_instance,mivoice_business_express,mivoic_mx-one,mivoice_5000
Топ уязвимостей
CVE-2024-35314Уязвимость в Desktop Client Mitel MiCollab версий до 9.7.1.110 и MiVoice Business Solution Virtual Instance (MiVB SVI) 1.0.0.25 может позволить неаутентифицированному злоумышленнику провести атаку с внедрением команд из-за недостаточной обработки параметров. Успешная эксплуатация требует взаимодействия с пользователем и может позволить злоумышленнику выполнять произвольные скрипты.
CVE-2024-35286Уязвимость в NuPoint Messenger (NPM) Mitel MiCollab версий до 9.8.0.33 позволяет неаутентифицированному злоумышленнику провести атаку с использованием SQL-инъекции из-за недостаточной обработки пользовательского ввода. Успешная эксплуатация может позволить злоумышленнику получить доступ к конфиденциальной информации и выполнить произвольные операции с базами данных и управлением.
CVE-2024-35285Уязвимость в NuPoint Messenger (NPM) Mitel MiCollab версий до 9.8.0.33 позволяет неаутентифицированному злоумышленнику провести атаку с внедрением команд из-за недостаточной обработки параметров.
CVE-2022-41326Компонент веб-конференций Mitel MiCollab до версии 9.6.0.13 может позволить не прошедшему проверку подлинности злоумышленнику загружать произвольные сценарии из-за неправильных средств контроля авторизации. Успешное использование уязвимости может позволить удаленно выполнить код в контексте приложения.
CVE-2022-36452Уязвимость в компоненте веб-конференций Mitel MiCollab до версии 9.5.0.101 может позволить не прошедшему проверку подлинности злоумышленнику загружать вредоносные файлы. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код в контексте приложения.
CVE-2022-26143Компонент TP-240 (также известный как tp240dvr) в Mitel MiCollab до версии 9.4 SP1 FP1 и MiVoice Business Express до версии 8.1 позволяет удаленным злоумышленникам получать конфиденциальную информацию и вызывать отказ в обслуживании (снижение производительности и чрезмерный исходящий трафик). Это использовалось в дикой природе в феврале и марте 2022 года для DDoS-атаки TP240PhoneHome.
CVE-2021-32071Служба MiCollab Client в Mitel MiCollab до версии 9.3 может позволить неаутентифицированному пользователю получить доступ к системе из-за неправильного контроля доступа. Успешное использование может позволить злоумышленнику просматривать и изменять данные приложения, а также вызывать отказ в обслуживании для пользователей.
CVE-2019-12165MiCollab 7.3 PR2 (7.3.0.204) и более ранние версии, 7.2 (7.2.2.13) и более ранние версии, а также 7.1 (7.1.0.57) и более ранние версии и MiCollab AWV 6.3 (6.3.0.103), 6.2 (6.2.2.8), 6.1 (6.1.0.28), 6.0 (6.0.0.61) и 5.0 (5.0.5.7) имеют уязвимость выполнения команд. Успешная эксплуатация этой уязвимости может позволить злоумышленнику выполнить произвольные системные команды.
CVE-2024-47223Уязвимость в компоненте AWV (Audio, Web and Video Conferencing) Mitel MiCollab до версии 9.8 SP1 FP2 (9.8.1.201) может позволить не прошедшему проверку подлинности злоумышленнику провести атаку SQL-инъекции из-за недостаточной очистки пользовательского ввода. Успешное использование уязвимости может позволить злоумышленнику получить доступ к не конфиденциальной информации о подготовке пользователей и выполнять произвольные команды SQL-базы данных.
CVE-2024-41713Уязвимость в компоненте NuPoint Unified Messaging (NPM) Mitel MiCollab до версии 9.8 SP1 FP2 (9.8.1.201) может позволить неаутентифицированному злоумышленнику провести атаку с обходом пути из-за недостаточной проверки ввода. Успешная эксплуатация может позволить получить несанкционированный доступ, позволяющий злоумышленнику просматривать, повреждать или удалять пользовательские данные и системные конфигурации.
CVE-2020-35547Страница индекса библиотеки в NuPoint Messenger в Mitel MiCollab до версии 9.2 FP1 может позволить не прошедшему проверку подлинности злоумышленнику получить доступ (просмотр и изменение) к данным пользователя.
CVE-2025-52914В компоненте Suite Applications Services продукта Mitel MiCollab версий от 10.0 до SP1 FP1 (10.0.1.101) обнаружена уязвимость, которая может позволить аутентифицированному злоумышленнику провести атаку SQL-инъекции из-за недостаточной проверки пользовательского ввода. Успешная эксплуатация может позволить злоумышленнику выполнить произвольные команды SQL базы данных, что потенциально повлияет на конфиденциальность, целостность и доступность системы [1].
Уязвимость имеет высокий уровень серьёзности. Mitel рекомендует клиентам с уязвимыми версиями продуктов обновиться до последней версии.
Затронутые продукты и решения:
- MiCollab версии от 10.0 (10.0.0.26) до 10.0 SP1 FP1 (10.0.1.101) и 9.8 SP3 (9.8.3.1) и ранее.
Рекомендуемые действия:
- Обновиться до версии 10.1 (10.1.0.10) или до версии 9.8 SP3 FP1 (9.8.3.103), или последующих версий.
- Альтернативное решение: Mitel предоставил патчи для версий 10.0 (10.0.0.26) до 10.0 SP1 FP1 (10.0.1.101) и версий 9.8 (9.8.0.33) до 9.8 SP3 (9.8.3.1).
Источники:
- [1] https://www.mitel.com/support/security-advisories
- [2] https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-misa-2025-0008
CVE-2024-41714Уязвимость в компоненте веб-интерфейса Mitel MiCollab до версии 9.8 SP1 (9.8.1.5) и MiVoice Business Solution Virtual Instance (MiVB SVI) до версии 1.0.0.27 может позволить аутентифицированному злоумышленнику провести атаку с внедрением команд из-за недостаточной очистки параметров. Успешная эксплуатация может позволить злоумышленнику выполнять произвольные команды с повышенными привилегиями в контексте системы.
CVE-2022-36453Уязвимость в MiCollab Client API Mitel MiCollab 9.1.3 до 9.5.0.101 может позволить аутентифицированному злоумышленнику изменять параметры своего профиля из-за неправильных элементов управления авторизацией. Успешная эксплуатация может позволить аутентифицированному злоумышленнику управлять другим добавочным номером.
CVE-2022-36451Уязвимость в серверном компоненте MiCollab Client Mitel MiCollab до версии 9.5.0.101 может позволить аутентифицированному злоумышленнику провести атаку с подделкой запросов на стороне сервера (SSRF) из-за недостаточного ограничения параметров URL. Успешная эксплуатация может позволить злоумышленнику использовать соединения и разрешения, доступные хост-серверу.
CVE-2024-47912Уязвимость в компоненте AWV (Audio, Web и Video) Conferencing Mitel MiCollab до 9.8 SP1 FP2 (9.8.1.201) может позволить не прошедшему аутентификацию злоумышленнику выполнять несанкционированные атаки доступа к данным из-за отсутствия механизмов аутентификации. Успешная эксплуатация может позволить злоумышленнику получить доступ и удалить конфиденциальную информацию.
CVE-2020-13863SAS-портал Mitel MiCollab до версии 9.1.3 может позволить злоумышленнику получить доступ к данным пользователя, выполнив инъекцию заголовка в HTTP-ответы из-за неправильной обработки входных параметров. Успешная эксплуатация может позволить злоумышленнику получить доступ к информации о пользователе.
CVE-2024-47189API-интерфейс компонента AWV (Audio, Web and Video Conferencing) Mitel MiCollab до версии 9.8 SP1 FP2 (9.8.1.201) может позволить не прошедшему проверку подлинности злоумышленнику провести SQL-инъекцию из-за недостаточной очистки пользовательского ввода. Успешное использование уязвимости может позволить злоумышленнику, знающему конкретные детали, получить доступ к не конфиденциальной информации о подготовке пользователей и выполнять произвольные команды SQL-базы данных.
CVE-2014-0160Реализация (1) TLS и (2) DTLS в OpenSSL 1.0.1 до версии 1.0.1g неправильно обрабатывает пакеты расширения Heartbeat, что позволяет удаленным злоумышленникам получать конфиденциальную информацию из памяти процесса через подготовленные пакеты, которые вызывают переполнение буфера, как это было продемонстрировано чтением закрытых ключей, связанным с d1_both.c и t1_lib.c, также известное как ошибка Heartbleed.
CVE-2024-30158Уязвимость в компоненте веб-конференций Mitel MiCollab до версии 9.7.1.110 может позволить прошедшему проверку подлинности злоумышленнику с правами администратора провести SQL-инъекцию из-за недостаточной проверки вводимых пользователем данных. Успешная эксплуатация может позволить злоумышленнику выполнять произвольные операции с базами данных и управлением.
CVE-2024-30157Уязвимость в компоненте Suite Applications Services Mitel MiCollab до версии 9.7.1.110 может позволить прошедшему проверку подлинности злоумышленнику с правами администратора провести SQL-инъекцию из-за недостаточной проверки вводимых пользователем данных. Успешная эксплуатация может позволить злоумышленнику выполнять произвольные операции с базами данных и управлением.
CVE-2020-25608SAS-портал Mitel MiCollab до версии 9.2 может позволить злоумышленнику получить доступ к учетным данным пользователя из-за неправильной проверки ввода, также известной как SQL-инъекция.
CVE-2024-35287Уязвимость в компоненте NuPoint Messenger (NPM) Mitel MiCollab версий до 9.8 SP1 (9.8.1.5) может позволить аутентифицированному злоумышленнику с административными привилегиями провести атаку с повышением привилегий из-за выполнения ресурса с ненужными привилегиями. Успешная эксплуатация может позволить злоумышленнику выполнять произвольные команды с повышенными привилегиями.
CVE-2024-41712Уязвимость в компоненте веб-конференций Mitel MiCollab до версии 9.8.1.5 может позволить аутентифицированному злоумышленнику провести атаку с внедрением команд из-за недостаточной проверки пользовательского ввода. Успешная эксплуатация может позволить злоумышленнику выполнять произвольные команды в системе в контексте пользователя.
CVE-2024-47224Уязвимость в компоненте AWV (Audio, Web and Video Conferencing) Mitel MiCollab до версии 9.8 SP1 FP2 (9.8.1.201) может позволить не прошедшему проверку подлинности злоумышленнику провести атаку CRLF-инъекции из-за неадекватного кодирования пользовательского ввода в URL-адресах. Успешное использование уязвимости может позволить злоумышленнику выполнить фишинговую атаку.