- Bug di mivoice mx-one memberikan akses admin
- Kerentanan di Micollab memungkinkan eksekusi perintah sewenang -wenang
- Patch dirilis untuk keduanya, jadi pengguna harus memperbarui sekarang
Mitel Networks telah menambal dua kerentanan penting dalam produknya yang dapat disalahgunakan untuk mendapatkan akses admin dan menggunakan kode berbahaya pada titik akhir yang dikompromikan.
Dalam penasihat keamanan, Mitel mengatakan mereka menemukan cacat bypass otentikasi kritis dalam MIVOICE MX-One, platform Unified Communications & Collaboration (UCC) kelas perusahaannya. MX-ONE dirancang untuk skala dari ratusan hingga lebih dari 100.000 pengguna dalam satu sistem berbasis SIP terdistribusi atau terpusat, dan mendukung penyebaran cloud pribadi dan publik/publik.
Kelemahan kontrol akses yang tidak tepat ditemukan dalam komponen manajer penyediaan, yang dapat memungkinkan para aktor ancaman untuk mendapatkan akses admin tanpa interaksi korban.
Patch dirilis
Pada waktu pers, bug belum diberi CVE, tetapi diberi skor keparahan 9,4/10 (kritis).
Ini mempengaruhi versi 7.3 (7.3.0.0.50) hingga 7.8 SP1 (7.8.1.0.14), dan ditangani dalam versi 7.8 (MXO-15711_78SP0) dan 7.8 SP1 (MXO-15711_78SP1).
“Jangan mengekspos layanan MX-One secara langsung ke internet publik. Pastikan bahwa sistem MX-One digunakan dalam jaringan tepercaya. Risiko tersebut dapat dikurangi dengan membatasi akses ke layanan manajer penyediaan,” kata Mitel dalam penasehat.
Cacat kedua yang ditetapkan adalah kerentanan injeksi SQL tingkat tinggi yang ditemukan di Micollab, platform kolaborasi perusahaan. Ini dilacak sebagai CVE-2025-52914, dan memungkinkan aktor ancaman untuk menjalankan perintah basis data SQL sewenang-wenang.
Berita baiknya adalah bahwa masih belum ada bukti bahwa kedua kelemahan ini telah dilecehkan di alam liar, jadi aman untuk menganggap belum ada ancaman yang ditemukan oleh para aktor.
Namun, banyak penjahat cyber hanya menunggu berita tentang kerentanan untuk dipatahkan, bertaruh bahwa banyak organisasi gagal menambal sistem mereka tepat waktu.
Meskipun ini agak mengurangi jumlah korban potensial, itu membuat kompromi yang tersisa jauh lebih mudah, dan jumlah itu seringkali masih cukup tinggi untuk memberikan insentif aktor ancaman.
Melalui Komputer yang meledakkan
