Múltiples vulnerabilidades en MiCollab de Mitel
MiCollab, versión 9.8 SP1 FP2 (9.8.1.201) y anteriores.
Sonny Macdonald, de watchTowr, ha notificado dos vulnerabilidades de severidad crítica que podría permitir que un atacante, no autenticado, realice un ataque: de limitación incorrecta de acceso a un directorio debido a una validación de entrada insuficiente o de inyección SQL debido a una depuración insuficiente de la entrada del usuario.
Actualizar MiCollab a la versión 9.8 SP2 (9.8.2.12) o posterior.
La vulnerabilidad CVE-2024-47223, es de tipo inyección SQL y se produce en el componente de conferencias de audio, web y vídeo. Para explotar esta vulnerabilidad se necesita una URL especialmente diseñada y podría afectar la confidencialidad, integridad y disponibilidad del sistema. El atacante podría ejecutar consultas de base de datos SQL arbitrarias para corromper o eliminar tablas, lo que podría dejar inoperativo el sistema.
La vulnerabilidad CVE-2024-41713, de limitación incorrecta de acceso a un directorio en el componente NuPoint Unified Messaging (NPM) podría permitir que un atacante obtenga acceso no autorizado, con posibles impactos en la confidencialidad, integridad y disponibilidad del sistema y este podría realizar acciones administrativas, no autorizadas, en el servidor.