PT-2024-3246 · Mitel · Mitel 6800 Series+2
Kevin Joensen
·
Publicado
2024-04-17
·
Atualizado
2024-07-03
·
CVE-2024-31965
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões da série Mitel 6800 até a 6.3 SP3 HF4
Versões da série Mitel 6900 até a 6.3 SP3 HF4
Versões da série Mitel 6900w até a 6.3.3
Versões da unidade de conferência Mitel 6970 até a 5.1.1 SP8
Descrição
O problema está relacionado à validação insuficiente de entradas, permitindo que um invasor autenticado com privilégios administrativos realize um ataque de traversal de caminho. Isso poderia permitir que o invasor acessasse informações confidenciais enviando uma solicitação HTTP especialmente criada.
Recomendações
Para as versões da série Mitel 6800 até a 6.3 SP3 HF4, atualize para uma versão posterior à 6.3 SP3 HF4 para resolver o problema.
Para as versões da série Mitel 6900 até a 6.3 SP3 HF4, atualize para uma versão posterior à 6.3 SP3 HF4 para resolver o problema.
Para as versões da série Mitel 6900w até a 6.3.3, atualize para uma versão posterior à 6.3.3 para resolver o problema.
Para as versões da Unidade de Conferência Mitel 6970 até a 5.1.1 SP8, atualize para uma versão posterior à 5.1.1 SP8 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao endpoint HTTP vulnerável até que um patch esteja disponível.
Correção
Path traversal
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mitel 6800 Series
Mitel 6900 Series
Mitel 6970 Conference Unit