For English, see below.
BeschrijvingMitel heeft updates uitgebracht voor het samenwerkingsplatform MiCollab waarmee het twee ernstige kwetsbaarheden in dit product verhelpt. De kwetsbaarheden bevinden zich in het NuPoint Unified Messaging (NPM) component van MiCollab en hebben de inschaling “Critical” gekregen (CVSSv3-score 9,8). De kwetsbaarheden betreffen een command-injectiekwetsbaarheid (CVE-2024-35285) en een SQL-injectiekwetsbaarheid (CVE-2024-35286) die ongeauthenticeerde aanvallers kunnen misbruiken voor het verkrijgen van gevoelige informatie, het uitvoeren van willekeurige operaties op de gebruikte database en het uitvoeren van willekeurige commando’s op het systeem. Nadere informatie over de kwetsbaarheden, alsmede informatie over actieve uitbuiting hiervan, ontbreekt op dit moment. Gezien de aard van de kwetsbaarheden achten wij de kans op actieve uitbuiting echter aanwezig. Kwetsbare versiesDe kwetsbaarheden zijn aanwezig in MiCollab versie 9.8.0.33 en eerder. Oplossingen en tijdelijke mitigatiesMitel heeft MiCollab 9.8 SP1 (9.8.1.5) uitgebracht om deze kwetsbaarheden te verhelpen. Wij raden aan zo spoedig mogelijk te upgraden naar deze versie van MiCollab. Meer informatie
VragenVoor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.
===== ENGLISH ===== DescriptionMitel released updates for the MiCollab collaboration platform to fix two vulnerabilities in this product. The vulnerabilities exist within the NuPoint Unified Messaging (NUM) component of MiCollab and were rated critical (CVSSv3 score 9.8) by Mitel. The vulnerabilities are a command injection vulnerability (CVE-2024-35285) and a SQL injection vulnerability (CVE-2024-35286) that allow unauthenticated attackers to collect sensitive information, execute random operations on the database and execute random commands on the system. No additional information is currently available on the vulnerabilities and the exploitation of it. However, given the nature of the vulnerabilities, we assess active exploitation to be likely. Vulnerable versionsMiCollab version 9.8.0.33 and earlier are vulnerable. Solutions and workaroundsMitel released MiCollab 9.8 SP1 (9.8.1.5) to correct the reported vulnerabilities. We advise to upgrade to this latest version of MiCollab as soon as possible. More information
QuestionsFor questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl. |