Synthèse
Une preuve de concept (PoC) est disponible pour CVE-2024-41713 et CVE-2024-35286, déjà corrigés par le fournisseur, et pour une vulnérabilité zero-day, présente dans le produit Mitel MiCollab.
Ces vulnérabilités, qui affectent le composant NuPoint Unified Messaging (NPM) de Mitel MiCollab, si elles sont exploitées en combinaison, pourraient permettre d’effectuer des opérations arbitraires sur la base de données associée, de contourner les mécanismes d’authentification et d’autoriser un accès arbitraire aux fichiers sur les appareils affectés.
Remarque : CVE-2024-41713 : Opens external link semble être activement exploité en ligne.
Risque
Impact estimé de la vulnérabilité sur la communauté cible : critique (75,38)
Typologie
- Arbitrary File Read
- Authentication Bypass
- Data Manipulation
Produits et versions concernés
Mitel
- MiCollab, version 9.8 SP1 FP2 (9.8.1.201) et versions antérieures
Mesures d’atténuation
Conformément aux déclarations du fournisseur, il est recommandé de mettre à jour les produits vulnérables en suivant les instructions du bulletin de sécurité disponible sur le lien dans la section Références. De plus, concernant la vulnérabilité zero-day, il est recommandé de surveiller la publication de nouvelles mises à jour par le fournisseur.
Références
https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-misa-2024-0029
https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-24-0014
https://www.mitel.com/support/security-advisories
1Cette estimation est réalisée en prenant en compte plusieurs paramètres, notamment : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils affectés dans la communauté de référence.
