CRITICAL✓ PATCH🇬🇧 English

CVE-2024-35286

SQL Injection w Mitel MiCollab NuPoint Messenger — dostęp bez uwierzytelnienia

CVSS 9.8v3.1pub. 2024-10-21upd. 2025-07-07

Krytyczna podatność typu SQL injection w komponencie NuPoint Messenger (NPM) platformy Mitel MiCollab umożliwia nieuwierzytelnionemu atakującemu przejęcie kontroli nad bazą danych. Ze względu na brak wymogu uwierzytelnienia i pełny wpływ na poufność, integralność i dostępność, podatność jest oceniana jako krytyczna (CVSS 9.8).

Pokaż oryginał (EN)

A vulnerability in NuPoint Messenger (NPM) of Mitel MiCollab through 9.8.0.33 allows an unauthenticated attacker to conduct a SQL injection attack due to insufficient sanitization of user input. A successful exploit could allow an attacker to access sensitive information and execute arbitrary database and management operations.

🤖 Analiza AI
Jak działa

Komponent NuPoint Messenger (NPM) w Mitel MiCollab nie przeprowadza wystarczającej walidacji i sanityzacji danych wejściowych dostarczanych przez użytkownika. Atakujący może wstrzyknąć złośliwy kod SQL w odpowiednie żądanie bez konieczności posiadania jakiegokolwiek konta lub poświadczeń. Podatność jest dostępna zdalnie przez sieć, bez konieczności interakcji ze strony ofiary, co znacząco obniża próg ataku.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na uzyskanie nieautoryzowanego dostępu do wrażliwych danych przechowywanych w bazie danych oraz wykonanie dowolnych operacji na bazie danych i systemie zarządzania, co może prowadzić do kradzieży danych, ich modyfikacji lub całkowitego naruszenia integralności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły w biuletynie bezpieczeństwa Mitel Product Security Advisory 24-0014 dostępnym pod adresem: https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-24-0014

Kogo dotyczy

Mitel MiCollab w wersjach do 9.8.0.33 włącznie (komponent NuPoint Messenger — NPM)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mitel Micollab

    APP
    Mitel
    ≤ 9.8.0.33
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
SQLiAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-41713CRITICAL9.1⚠ KEVPL ✓ten sam produkt

Path Traversal w Mitel MiCollab — nieautoryzowany dostęp do danych

CVE-2022-26143CRITICAL9.8⚠ KEVten sam produkt

The TP-240 (aka tp240dvr) component in Mitel MiCollab before 9.4 SP1 FP1 and MiVoice Business Express through ...

CVE-2024-35314CRITICAL9.8PL ✓ten sam produkt

Command Injection w Mitel MiCollab i MiVoice Business Solution Virtual Instance

CVE-2024-35285CRITICAL9.8PL ✓ten sam produkt

Command injection w Mitel MiCollab NuPoint Messenger — dostęp bez uwierzytelnienia

CVE-2024-47223CRITICAL9.4PL ✓ten sam produkt

SQL Injection w komponencie AWV Mitel MiCollab — dostęp bez uwierzytelnienia