PT-2024-32470 · Mitel · Mitel Micollab
Patrick Webster
·
Publicado
2024-10-21
·
Atualizado
2025-07-07
·
CVE-2024-47189
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Mitel MiCollab até a 9.8 SP1 FP2 (9.8.1.201)
Descrição
O problema diz respeito à interface API do componente AWV, onde a sanitização insuficiente das entradas do usuário poderia permitir que um invasor não autenticado realizasse uma injeção de SQL. Isso poderia permitir que um invasor com conhecimento específico acessasse informações não confidenciais de provisionamento do usuário e executasse comandos arbitrários de banco de dados SQL.
Recomendações
Para versões até 9.8 SP1 FP2 (9.8.1.201), como solução temporária, considere restringir o acesso à interface API do componente AWV até que um patch esteja disponível. Evite usar entradas do usuário em consultas SQL até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mitel Micollab