CRITICAL✓ PATCH🇬🇧 English

CVE-2024-47223

SQL Injection w komponencie AWV Mitel MiCollab — dostęp bez uwierzytelnienia

CVSS 9.4v3.1pub. 2024-10-21upd. 2025-07-07

Krytyczna podatność typu SQL injection w komponencie AWV (Audio, Web and Video Conferencing) systemu Mitel MiCollab umożliwia nieuwierzytelnionemu atakującemu wykonywanie dowolnych poleceń SQL. Ze względu na brak wymagań co do uprawnień i dostępność przez sieć, stanowi poważne zagrożenie dla integralności i dostępności systemu.

Pokaż oryginał (EN)

A vulnerability in the AWV (Audio, Web and Video Conferencing) component of Mitel MiCollab through 9.8 SP1 FP2 (9.8.1.201) could allow an unauthenticated attacker to conduct a SQL injection attack due to insufficient sanitization of user input. A successful exploit could allow an attacker to access non-sensitive user provisioning information and execute arbitrary SQL database commands.

🤖 Analiza AI
Jak działa

Podatność wynika z niewystarczającej walidacji (sanityzacji) danych wejściowych dostarczanych przez użytkownika w komponencie AWV. Atakujący może przesłać specjalnie spreparowane żądanie sieciowe zawierające złośliwe fragmenty SQL, które zostaną przekazane bezpośrednio do bazy danych bez odpowiedniego oczyszczenia. Nie jest wymagane żadne uwierzytelnienie ani interakcja po stronie ofiary.

Skutki

Atakujący może uzyskać dostęp do informacji o provisioningu użytkowników oraz wykonywać dowolne polecenia w bazie danych SQL, co może prowadzić do naruszenia integralności danych i zakłócenia dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły w komunikacie bezpieczeństwa Mitel MISA-2024-0028 dostępnym pod adresem: https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-misa-2024-0028

Kogo dotyczy

Mitel MiCollab w wersjach do 9.8 SP1 FP2 (9.8.1.201) włącznie — komponent AWV (Audio, Web and Video Conferencing).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H
  • Mitel Micollab

    APP
    Mitel
    ≤ 9.8.1.201
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
SQLiAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-41713CRITICAL9.1⚠ KEVPL ✓ten sam produkt

Path Traversal w Mitel MiCollab — nieautoryzowany dostęp do danych

CVE-2022-26143CRITICAL9.8⚠ KEVten sam produkt

The TP-240 (aka tp240dvr) component in Mitel MiCollab before 9.4 SP1 FP1 and MiVoice Business Express through ...

CVE-2024-35286CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Mitel MiCollab NuPoint Messenger — dostęp bez uwierzytelnienia

CVE-2024-35285CRITICAL9.8PL ✓ten sam produkt

Command injection w Mitel MiCollab NuPoint Messenger — dostęp bez uwierzytelnienia

CVE-2024-35314CRITICAL9.8PL ✓ten sam produkt

Command Injection w Mitel MiCollab i MiVoice Business Solution Virtual Instance

CVE-2024-47223 — SQL Injection w komponencie AWV Mitel MiCollab — dostęp bez uwierzytelnienia — CRITICAL 9.4 | CVEbaza.pl