Event:

Cyber Future Event - 12 september

Lees verder

Pinewood Security Bulletin – Mitel fixes critical vulnerabilities in MiCollab

For English, see below.

Beschrijving

Mitel heeft updates uitgebracht voor het samenwerkingsplatform MiCollab waarmee het twee ernstige kwetsbaarheden in dit product verhelpt. De kwetsbaarheden bevinden zich in het NuPoint Unified Messaging (NPM) component van MiCollab en hebben de inschaling “Critical” gekregen (CVSSv3-score 9,8). De kwetsbaarheden betreffen een command-injectiekwetsbaarheid (CVE-2024-35285) en een SQL-injectiekwetsbaarheid (CVE-2024-35286) die ongeauthenticeerde aanvallers kunnen misbruiken voor het verkrijgen van gevoelige informatie, het uitvoeren van willekeurige operaties op de gebruikte database en het uitvoeren van willekeurige commando’s op het systeem.

Nadere informatie over de kwetsbaarheden, alsmede informatie over actieve uitbuiting hiervan, ontbreekt op dit moment. Gezien de aard van de kwetsbaarheden achten wij de kans op actieve uitbuiting echter aanwezig.

Kwetsbare versies

De kwetsbaarheden zijn aanwezig in MiCollab versie 9.8.0.33 en eerder.

Oplossingen en tijdelijke mitigaties

Mitel heeft MiCollab 9.8 SP1 (9.8.1.5) uitgebracht om deze kwetsbaarheden te verhelpen. Wij raden aan zo spoedig mogelijk te upgraden naar deze versie van MiCollab.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

 

===== ENGLISH =====

Description

Mitel released updates for the MiCollab collaboration platform to fix two vulnerabilities in this product. The vulnerabilities exist within the NuPoint Unified Messaging (NUM) component of MiCollab and were rated critical (CVSSv3 score 9.8) by Mitel. The vulnerabilities are a command injection vulnerability (CVE-2024-35285) and a SQL injection vulnerability (CVE-2024-35286) that allow unauthenticated attackers to collect sensitive information, execute random operations on the database and execute random commands on the system.

No additional information is currently available on the vulnerabilities and the exploitation of it. However, given the nature of the vulnerabilities, we assess active exploitation to be likely.

Vulnerable versions

MiCollab version 9.8.0.33 and earlier are vulnerable.

Solutions and workarounds

Mitel released MiCollab 9.8 SP1 (9.8.1.5) to correct the reported vulnerabilities. We advise to upgrade to this latest version of MiCollab as soon as possible.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl