Mitel ha publicado actualizaciones de seguridad para chocar un defecto de seguridad crítico en Mivoice MX-One que podría permitir que un atacante elude las protecciones de autenticación.
“Se ha identificado una vulnerabilidad de derivación de la autenticación en el componente del directivo de aprovisionamiento de Mitel Mivoice MX-ONE, que, si se explota con éxito, podría permitir que un atacante no autenticado realice un ataque de derivación de autenticación conveniente al control de ataque inadecuado”, dijo la compañía en un asesor publicado el miércoles.
“Una correr exitosa de esta vulnerabilidad podría permitir que un atacante obtenga ataque no competente a las cuentas de sucesor o administrador en el sistema”.
A la deficiencia, a la que aún no se ha asignado un identificador CVE, tiene una puntuación CVSS de 9.4 de un mayor de 10.0. Afecta las versiones MIVOICE MX-ONE de 7.3 (7.3.0.0.50) a 7.8 SP1 (7.8.1.0.14).
Los parches para el problema se han puesto a disposición en MXO-15711_78SP0 y MXO-15711_78SP1 para las versiones MX-ONE 7.8 y 7.8 SP1, respectivamente. Se recomienda a los clientes que usan Mivoice MX-One lectura 7.3 y superior para mandar una solicitud de parche a su socio de servicio competente.
Como las mitigaciones hasta que se puedan aplicar soluciones, se recomienda lindar la exposición directa de los servicios MX-ONE a Internet conocido y sostener que se coloquen en el interior de una red confiable.
Unido con la error de derivación de la autenticación, Mitel ha enviado actualizaciones para resolver una vulnerabilidad de adhesión severidad en Micollab (CVE-2025-52914, puntaje CVSS: 8.8) que, si se explota con éxito, podría permitir a un atacante autenticado para soportar a parte un ataque de inyección SQL.
“Una exploit exitosa podría permitir que un atacante acceda a la información de aprovisionamiento del sucesor y ejecute comandos arbitrarios de la colchoneta de datos SQL con posibles impactos en la confidencialidad, la integridad y la disponibilidad del sistema”, dijo Mitel.
La vulnerabilidad, que impacta las versiones de Micollab 10.0 (10.0.0.26) a 10.0 SP1 FP1 (10.0.1.101) y 9.8 SP3 (9.8.3.1) y anteriormente, se ha resuelto en las versiones 10.1 (10.1.0.10), 9.8 SP3 FP1 (9.8.3.103), y más tarde.
Con las deficiencias en los dispositivos Mitel que se encuentran bajo ataques activos en el pasado, es esencial que los usuarios se muevan rápidamente para refrescar sus instalaciones lo ayer posible para mitigar las posibles amenazas.
