Mitel - CVE-2024-41714

Date de publication : 26/07/2024

Date de mise à jour : 22/10/2024

Une vulnérabilité d’injection de commande dans MiCollab Client Server permet à un attaquant authentifié d’exécuter du code arbitraire et d’élever ses privilèges.

CVE-2024-41714

[Score CVSS v3.1: 9.9]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire

Élévation de privilèges

Exploitation

La vulnérabilité exploitée est du type
CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau
•    Complexité de l'attaque : Faible
•    Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

MiCollab

Versions 9.8 SP1 (9.8.1.5) et antérieures

MiVoice Business Solution Virtual Instance

Versions 1.0.0.27 et antérieures

Contournement provisoire

L’éditeur met des scripts à disposition afin de corriger les versions 9.7, 9.7 SP1, 9.8 et 9.8 SP1 de MiCollab. Des informations sont disponibles dans l’article SO8132.

Solutions ou recommandations

Mettre à niveau MiCollab vers la version 9.8 SP1 FP1 (9.8.1.108) ou ultérieure.
Les instructions pour corriger MiVB SVI figurent dans l’article SO8132.

Des informations complémentaires sont disponibles dans le bulletin de Mitel.