Risques
- Atteinte à la confidentialité des données
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- Mitel MiCollab versions R9.4 SP1 et antérieures
- MiVoice Business Express versions R8.1 et antérieures
Résumé
Une vulnérabilité a été découverte dans Mitel MiCollab et MiVoice Business Express. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Contournement provisoire
Mitel déclare fournir un script qui permet de mettre en place une mesure de contournement provisoire pour Micollab versions R8.0 à R9.4 ainsi que pour les versions R8.0 et R8.1 de MiVoice Business Express.
La version R9.4 SP1 FP1 de Micollab est prévue pour mars 2022.
Documentation
- Bulletin de sécurité Mitel 22-0001 du 22 février 2022 https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-22-0001
- Référence CVE CVE-2022-26143 https://www.cve.org/CVERecord?id=CVE-2022-26143