Mitel 关键漏洞可让黑客绕过登录,获得 MiVoice MX-ONE 系统的完全访问权限
Mitel紧急修复两大高危系统漏洞 网络安全厂商Mitel发布关键安全更新,涉及旗下两大通信系统: MiVoice MX-ONE存在认证绕过漏洞(CVSS 9.4),攻击者可越权访问管理员账户。影响7.3至7.8 SP1版本,需通过授权合作伙伴获取MXO-15711补丁,建议立即隔离系统公网暴露面 MiCollab 曝出SQL注入漏洞(CVE-2025-52914,CVSS 8.8),允许攻击者窃取数据并执行恶意数据库指令。影响9.8 SP3及10.0系列版本,需升级至10.1或9.8 SP3 FP1 由于Mitel设备漏洞历来被大规模利用,企业需优先处理此轮更新,以防账户劫持与数据泄露风险。
Mitel 发布了安全更新,以解决 MiVoice MX-ONE 中的一个严重安全漏洞,该漏洞可能允许攻击者绕过身份验证保护。
该公司在周三发布的一份公告中表示:“Mitel MiVoice MX-ONE 的 Provisioning Manager 组件中发现了一个身份验证绕过漏洞,该漏洞如果被成功利用,可能会允许未经身份验证的攻击者由于访问控制不当而发起身份验证绕过攻击。”
“成功利用此漏洞可能允许攻击者未经授权访问系统中的用户或管理员帐户。”
网络安全
该漏洞尚未分配 CVE 编号,CVSS 评分为 9.4(满分 10.0)。该漏洞影响 MiVoice MX-ONE 7.3(7.3.0.0.50)至 7.8 SP1(7.8.1.0.14)版本。
针对该问题的补丁已分别发布于 MX-ONE 7.8 和 7.8 SP1 版本的 MXO-15711_78SP0 和 MXO-15711_78SP1。建议使用 MiVoice MX-ONE 7.3 及以上版本的用户向其授权服务合作伙伴提交补丁请求。
作为修复之前的缓解措施,建议限制 MX-ONE 服务直接暴露在公共互联网上,并确保它们位于受信任的网络中。
除了身份验证绕过漏洞外,Mitel 还发布了更新以解决 MiCollab 中的高严重性漏洞(CVE-2025-52914,CVSS 评分:8.8),如果成功利用该漏洞,可能允许经过身份验证的攻击者执行 SQL 注入攻击。
Mitel表示:“成功利用该漏洞,攻击者可以访问用户配置信息并执行任意 SQL 数据库命令,这可能会对系统的机密性、完整性和可用性产生潜在影响。”
网络安全
该漏洞影响 MiCollab 版本 10.0(10.0.0.26)至 10.0 SP1 FP1(10.0.1.101)和 9.8 SP3(9.8.3.1)及更早版本,已在版本 10.1(10.1.0.10)、9.8 SP3 FP1(9.8.3.103)及更高版本中得到解决。
由于 Mitel 设备的缺陷在过去曾受到 主动攻击,因此用户必须尽快更新其安装以减轻潜在威胁。
关于作者
评论0次