CVE-2024-37570

Nome do software vulnerável e versões afetadas:

Mitel 6869i versão 4.5.0.41

Descrição:

O problema está relacionado à página de atualização manual de firmware (upgrade.html), que não realiza a sanitização dos parâmetros username e path enviados por um usuário autenticado. Essa falta de sanitização leva à execução de comandos $(), permitindo que um invasor remoto execute comandos arbitrários enviando solicitações POST especialmente criadas.

Recomendações:

Para o Mitel 6869i versão 4.5.0.41, como solução temporária, considere desativar o acesso à página de Atualização Manual de Firmware (upgrade.html) até que um patch esteja disponível. Restrinja o acesso à página upgrade.html para minimizar o risco de exploração. Evite usar os parâmetros username e path na página afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.