nvd
Mitel
Уязвимости
134
Эксплуатируемые
8
Критический
35
Высокий
37
Топ продуктов
Топ уязвимостей
CVE-2024-35314Уязвимость в Desktop Client Mitel MiCollab версий до 9.7.1.110 и MiVoice Business Solution Virtual Instance (MiVB SVI) 1.0.0.25 может позволить неаутентифицированному злоумышленнику провести атаку с внедрением команд из-за недостаточной обработки параметров. Успешная эксплуатация требует взаимодействия с пользователем и может позволить злоумышленнику выполнять произвольные скрипты.
CVE-2024-35286Уязвимость в NuPoint Messenger (NPM) Mitel MiCollab версий до 9.8.0.33 позволяет неаутентифицированному злоумышленнику провести атаку с использованием SQL-инъекции из-за недостаточной обработки пользовательского ввода. Успешная эксплуатация может позволить злоумышленнику получить доступ к конфиденциальной информации и выполнить произвольные операции с базами данных и управлением.
CVE-2024-35285Уязвимость в NuPoint Messenger (NPM) Mitel MiCollab версий до 9.8.0.33 позволяет неаутентифицированному злоумышленнику провести атаку с внедрением команд из-за недостаточной обработки параметров.
CVE-2023-40266В Atos Unify OpenScape Xpressions WebAssistant V7 до версии V7R1 FR5 HF42 P911 обнаружена проблема. Она позволяет осуществлять обход пути.
CVE-2023-39293В MiVoice Office 400 SMB Controller версий до 1.2.5.23 была обнаружена уязвимость Command Injection, которая может позволить злоумышленнику выполнять произвольные команды в контексте системы.
CVE-2023-39292В MiVoice Office 400 SMB Controller версий до 1.2.5.23 была обнаружена уязвимость SQL-инъекции, которая может позволить злоумышленнику получить доступ к конфиденциальной информации и выполнять произвольные операции с базой данных и управлением.
CVE-2023-32748Компонент Linux DVS сервера Mitel MiVoice Connect до версии 19.3 SP2 (22.24.1500.0) может позволить не прошедшему проверку подлинности злоумышленнику с доступом к внутренней сети выполнять произвольные скрипты из-за неправильного контроля доступа.
CVE-2023-31458Уязвимость в компоненте Edge Gateway Mitel MiVoice Connect версий 19.3 SP2 (22.24.1500.0) и более ранних может позволить не прошедшему проверку подлинности злоумышленнику с доступом к внутренней сети пройти проверку подлинности с правами администратора, поскольку при первоначальной установке не требуется смена пароля. Успешная эксплуатация может позволить злоумышленнику вносить произвольные изменения в конфигурацию и выполнять произвольные команды.
CVE-2023-31457Уязвимость в серверном компоненте Headquarters Mitel MiVoice Connect версий 19.3 SP2 (22.24.1500.0) и более ранних может позволить не прошедшему проверку подлинности злоумышленнику с доступом к внутренней сети выполнять произвольные скрипты из-за неправильного контроля доступа.
CVE-2022-41326Компонент веб-конференций Mitel MiCollab до версии 9.6.0.13 может позволить не прошедшему проверку подлинности злоумышленнику загружать произвольные сценарии из-за неправильных средств контроля авторизации. Успешное использование уязвимости может позволить удаленно выполнить код в контексте приложения.
CVE-2022-36452Уязвимость в компоненте веб-конференций Mitel MiCollab до версии 9.5.0.101 может позволить не прошедшему проверку подлинности злоумышленнику загружать вредоносные файлы. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код в контексте приложения.
CVE-2022-31784Уязвимость в интерфейсе управления MiVoice Business до 9.3 PR1 и MiVoice Business Express до 8.0 SP3 PR3 может позволить неаутентифицированному злоумышленнику (имеющему сетевой доступ к интерфейсу управления) провести атаку переполнения буфера из-за недостаточной проверки параметров URL. Успешная эксплуатация может позволить выполнить произвольный код.
CVE-2022-29499Компонент Service Appliance в Mitel MiVoice Connect до версии 19.2 SP3 допускает удаленное выполнение кода из-за некорректной проверки данных. Service Appliances - это SA 100, SA 400 и Virtual SA.
CVE-2022-26143Компонент TP-240 (также известный как tp240dvr) в Mitel MiCollab до версии 9.4 SP1 FP1 и MiVoice Business Express до версии 8.1 позволяет удаленным злоумышленникам получать конфиденциальную информацию и вызывать отказ в обслуживании (снижение производительности и чрезмерный исходящий трафик). Это использовалось в дикой природе в феврале и марте 2022 года для DDoS-атаки TP240PhoneHome.
CVE-2021-32071Служба MiCollab Client в Mitel MiCollab до версии 9.3 может позволить неаутентифицированному пользователю получить доступ к системе из-за неправильного контроля доступа. Успешное использование может позволить злоумышленнику просматривать и изменять данные приложения, а также вызывать отказ в обслуживании для пользователей.
CVE-2021-26714Портал Enterprise License Manager в Mitel MiContact Center Enterprise до версии 9.4 может позволить пользователю получить доступ к ограниченным файлам и папкам из-за недостаточного контроля доступа. Успешная эксплуатация может позволить злоумышленнику просматривать и изменять данные приложения через обход каталогов.
CVE-2020-10377Уязвимость слабого шифрования в Mitel MiVoice Connect Client до версии 214.100.1214.0 может позволить не прошедшему аутентификацию злоумышленнику получить доступ к учетным данным пользователя. Успешное использование уязвимости может позволить злоумышленнику получить доступ к системе с скомпрометированными учетными данными пользователя.
CVE-2020-10211Уязвимость удаленного выполнения кода в компоненте UCB Mitel MiVoice Connect до 19.1 SP1 может позволить неаутентифицированному удаленному злоумышленнику выполнять произвольные сценарии из-за недостаточной проверки параметров URL. Успешная эксплуатация может позволить злоумышленнику получить доступ к конфиденциальной информации.
CVE-2019-19608Уязвимость SQL-инъекции в компоненте веб-конференций Mitel MiCollab AWV до версии 8.1.2.2 может позволить неаутентифицированной атаке из-за недостаточной проверки входных данных для страницы registeredList.cgi. Успешная эксплуатация может позволить злоумышленнику извлечь конфиденциальную информацию из базы данных и выполнить произвольные скрипты.
CVE-2019-19607Уязвимость SQL-инъекции в компоненте веб-конференций Mitel MiCollab AWV до версии 8.1.2.2 может позволить неаутентифицированной атаке из-за недостаточной проверки входных данных для параметра session. Успешная эксплуатация может позволить злоумышленнику извлечь конфиденциальную информацию из базы данных и выполнить произвольные скрипты.
CVE-2019-12165MiCollab 7.3 PR2 (7.3.0.204) и более ранние версии, 7.2 (7.2.2.13) и более ранние версии, а также 7.1 (7.1.0.57) и более ранние версии и MiCollab AWV 6.3 (6.3.0.103), 6.2 (6.2.2.8), 6.1 (6.1.0.28), 6.0 (6.0.0.61) и 5.0 (5.0.5.7) имеют уязвимость выполнения команд. Успешная эксплуатация этой уязвимости может позволить злоумышленнику выполнить произвольные системные команды.
CVE-2018-5782Уязвимость в компоненте конференц-связи Mitel Connect ONSITE, версии R1711-PREM и более ранних, и Mitel ST 14.2, release GA28 и более ранних, может позволить неаутентифицированному злоумышленнику внедрить PHP-код с помощью специально созданных запросов к странице vsethost.php. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный PHP-код в контексте приложения.
CVE-2018-5781Уязвимость в компоненте конференц-связи Mitel Connect ONSITE, версии R1711-PREM и более ранних, и Mitel ST 14.2, release GA28 и более ранних, может позволить неаутентифицированному злоумышленнику внедрить PHP-код с помощью специально созданных запросов к странице vendrecording.php. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный PHP-код в контексте приложения.
CVE-2018-5780Уязвимость в компоненте конференц-связи Mitel Connect ONSITE, версии R1711-PREM и более ранних, и Mitel ST 14.2, release GA28 и более ранних, может позволить неаутентифицированному злоумышленнику внедрить PHP-код с помощью специально созданных запросов к странице vnewmeeting.php. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный PHP-код в контексте приложения.
CVE-2018-5779Уязвимость в компоненте конференц-связи Mitel Connect ONSITE, версии R1711-PREM и более ранних, и Mitel ST 14.2, release GA28 и более ранних, может позволить неаутентифицированному злоумышленнику скопировать вредоносный скрипт в недавно сгенерированный PHP-файл, а затем выполнить сгенерированный файл с помощью специально созданных запросов. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код в контексте приложения.