Vulnerabilidad crítica en Mitel MiCollab

Vulnerabilidad

Mitel Micollab

Mitel informa sobre dos vulnerabilidades en la aplicación de colaboración MiCollab, una de las cuales es crítica.

La vulnerabilidad crítica (CVE-2024-41713) tiene una clasificación CVSS de 9,8 y reside en el componente NuPoint Unified Messaging del software. Además se soluciona una vulnerabilidad con un CVSS inferior (2.7), este aún no tiene un CVE asignado. [1]

Si se explotan, las vulnerabilidades podrían permitir a un atacante eludir la autenticación y leer bases de datos internas y archivos confidenciales en sistemas vulnerables.

Se ha publicado un código de prueba de concepto que explota ambas vulnerabilidades en combinación.

Mitel escribe que CVE-2024-41713 se solucionó con MiCollab 9.8 SP2 (9.8.2.12). La vulnerabilidad CVSS inferior está parcialmente solucionada y, según Mitel, se solucionará en futuras actualizaciones. [2]

Productos afectados

MiCollab 9.8 SP1 FP2 (9.8.1.201) y versiones anteriores [2]

Recomendaciones

CERT-SE recomienda investigar si existen instalaciones vulnerables en su entorno de TI y, de ser así, seguir inmediatamente las recomendaciones del fabricante para evitar impactos.

Fuentes

[1] https://labs.watchtowr.com/where-theres-smoke-theres-fire-mitel-micollab-cve-2024-35286-cve-2024-41713-and-an-0day

[2] https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-misa-2024-0029