PT-2020-13121 · Mitel · Mitel Mivoice Connect Client
Publicado
2020-08-26
·
Atualizado
2025-11-03
·
CVE-2020-12456
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Mitel MiVoice Connect Client anteriores à 214.100.1223.0
Descrição
Existe uma vulnerabilidade de execução remota de código devido à renderização incorreta de mensagens de chat, permitindo que um invasor execute código arbitrário na janela de notificação do chat. Isso poderia permitir que um invasor roubasse cookies de sessão, realizasse traversal de diretório e executasse scripts arbitrários no contexto do cliente Connect.
Recomendações
Para versões anteriores à 214.100.1223.0, atualize para a versão 214.100.1223.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar o recurso de notificação de chat até que um patch esteja disponível. Restrinja o acesso a áreas confidenciais do cliente Connect para minimizar o risco de exploração.
Correção
RCE
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mitel Mivoice Connect Client