-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in Mitel MiCollab
Advisory ID : NCSC-2024-0468
Versie : 1.00
Kans : medium
CVE ID : CVE-2024-41713, CVE-2024-47189, CVE-2024-47223,
CVE-2024-47224, CVE-2024-47912
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Improper Encoding or Escaping of Output
Missing Authentication for Critical Function
Improper Limitation of a Pathname to a Restricted
Directory ('Path Traversal')
Improper Neutralization of CRLF Sequences ('CRLF
Injection')
Improper Neutralization of Special Elements used in an
SQL Command ('SQL Injection')
Improper Access Control
Uitgiftedatum : 20241209
Toepassing : mitel micollab
mitel mitel_micollab__9.8_sp2__9.8.2.12_
Versie(s) :
Platform(s) :
Beschrijving
Mitel heeft kwetsbaarheden verholpen in Mitel MiCollab (Specifiek
voor de Unified Messaging en Conferencing componenten).
De kwetsbaarheden bevinden zich in de manier waarop de Mitel MiCollab
componenten omgaan met gebruikersinvoer. Een aanvaller kan deze
kwetsbaarheden misbruiken om ongeautoriseerde toegang te krijgen tot
gebruikersdata en systeemconfiguraties via path traversal en SQL-
injectie aanvallen. Bovendien kunnen aanvallers phishing-aanvallen
uitvoeren door middel van CRLF-injectie. Een proof-of-concept exploit
is openbaar gemaakt, wat de haalbaarheid van deze aanvallen aantoont.
De kwetsbaarheden zijn ernstig en kunnen leiden tot datalekken en
compromittering van de integriteit van het systeem.
Mogelijke oplossingen
Mitel heeft updates uitgebracht om de kwetsbaarheden te verhelpen.
Zie bijgevoegde referenties voor meer informatie.
Referenties:
Reference - cveprojectv5; nvd
https://www.mitel.com/support/security-advisories/mitel-product-
security-advisory-misa-2024-0025
Reference - cveprojectv5; nvd
https://www.mitel.com/support/security-advisories/mitel-product-
security-advisory-misa-2024-0026
Reference - cveprojectv5; nvd
https://www.mitel.com/support/security-advisories/mitel-product-
security-advisory-misa-2024-0027
Reference - cveprojectv5; nvd
https://www.mitel.com/support/security-advisories/mitel-product-
security-advisory-misa-2024-0028
Reference - cveprojectv5; nvd
https://www.mitel.com/support/security-advisories/mitel-product-
security-advisory-misa-2024-0029
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=XhA+
-----END PGP SIGNATURE-----
