- Um bug no mivoice mx-one concedido acesso administrador
- Uma vulnerabilidade no Micollab permite a execução do comando arbitrário
- Os patches foram lançados para ambos, para que os usuários devem atualizar agora
A Mitel Networks corrigiu duas vulnerabilidades importantes em seus produtos que poderiam ser abusados para obter acesso ao administrador e implantar código malicioso em pontos de extremidade comprometidos.
Em um aviso de segurança, Mitel disse que descobriu uma falha de desvio de autenticação crítica de severidade em Mivoice MX-ONE, sua graduação corporativa Plataforma de Comunicações e Colaboração Unificada (UCC). O MX-ONE foi projetado para escalar de centenas para mais de 100.000 usuários em um único sistema distribuído ou centralizado baseado em SIP, e suporta as implantações de nuvem privada/privada/privada.
Uma fraqueza inadequada de controle de acesso foi descoberta no componente gerente de provisionamento, o que poderia permitir que os atores de ameaças obtenham acesso ao administrador sem interação da vítima.
Patches lançados
No momento, o bug ainda não recebeu um CVE, mas recebeu uma pontuação de gravidade de 9,4/10 (crítica).
Afeta as versões 7.3 (7.3.0.0.50) a 7.8 SP1 (7.8.1.0.14) e foi abordado nas versões 7.8 (MXO-15711_78sp0) e 7.8 SP1 (MXO-15711_78SP1).
“Não exponha os serviços MX-ONE diretamente à Internet pública. Verifique se o sistema MX-ONE está implantado em uma rede confiável. O risco pode ser mitigado restringindo o acesso ao serviço de gerente de provisionamento”, disse Mitel no aviso.
A segunda falha que fixou é uma vulnerabilidade de injeção de SQL de alta sexuação encontrada no Micollab, a plataforma de colaboração da empresa. Ele é rastreado como CVE-2025-52914 e permite que os atores de ameaças executem comandos arbitrários de banco de dados SQL.
A boa notícia é que ainda não há evidências de que essas duas falhas tenham sido abusadas na natureza, por isso é seguro assumir que nenhum ator de ameaça ainda a encontrou.
No entanto, muitos cibercriminosos simplesmente esperam as notícias de uma vulnerabilidade de quebrar, apostando que muitas organizações não conseguem corrigir seus sistemas no prazo.
Embora isso reduza um pouco o número de vítimas em potencial, isso facilita muito os restantes, e esse número ainda é alto o suficiente para dar um incentivo aos atores de ameaças.
Via BleepingComputer
