MiCollab漏洞CVE-2024-41713和CVE-2024-47223预警

Micollab统一通讯平台是加拿大Mitel公司推出的通讯系列产品，如其官方描述，可以实现任何时间地点，使用任何设备自由通讯。

一、基本情况

Mitel MiCollab致力于提供强大、易用的商业通讯和协作能力，每天提供通信已远超两亿次，其中包括每天3300多万次的云连接。

作为商业通信领域专家，Mitel MiCollab在欧洲、中东和非洲地区拥有广泛市场占有率，为全球六千万用户提供卓越的解决方案。

二、漏洞分析

CVE-2024-41713：

CVE-2024-41713是MiCollab平台新发现的严重安全漏洞，影响 NuPoint 统一消息（NPM）组件，根源在于该组件输入验证不足。

该漏洞CVSS评分为9.8，属于路径遍历漏洞，可能导致未经身份验证的攻击者利用漏洞获取敏感信息并在系统上执行管理操作。

来自WatchTowr公司的安全研究人员Sonny Macdonald发现并披露了该漏洞，漏洞可能严重影响系统的机密性、完整性和可用性。

该漏洞可能导致攻击者访问包括非敏感用户和网络信息在内的配置数据，并且可能在MiCollab服务器上执行未经授权的管理操作。

Mitel 建议所有使用受影响版本的客户立即更新至MiCollab 9.8 SP2（9.8.2.12）或更高版本，以确保系统免受该严重漏洞的影响。

CVE-2024-47223：

CVE-2024-47223是MiCollab平台新发现的严重安全漏洞，影响 NuPoint 统一消息（NPM）组件，根源在于该组件输入验证不足。

CVE-2024-47223是MiCollab的严重SQL注入漏洞，影响音频、网络和视频会议（AWV）组件，源于对用户输入sanitization不足。

该漏洞CVSS评分为9.4，允许未经认证的攻击者通过特制 URL 进行SQL注入攻击，一旦被攻击者利用将可能会造成重大的损失。

利用该漏洞的条件是需要特制的URL，成功利用漏洞可以在未经授权的情况下访问用户名和电子邮件地址等非敏感用户配置数据。

当前其潜在危害不止于此，攻击者还可以利用漏洞运行任意 SQL 数据库查询来破坏或删除表，可能导致 MiCollab 系统无法运行。

来自OSI Security公司安全分析人员Patrick Webster发现并报告了这一漏洞，漏洞可能对系统保密性、完整性和可用性造成影响。

Mitel 建议客户更新到最新 MiCollab MiCollab 9.8 SP2（9.8.2.12）或更高版本，并强调 MiCollab 9.8 SP2 之前的版本存在漏洞。

三、漏洞影响

CVE-2024-41713 < MiCollab 9.8 SP2（9.8.2.12）

CVE-2024-47223 < MiCollab 9.8 SP2（9.8.2.12）

四、防护措施 

Mitel 已发布 MiCollab MiCollab 9.8 SP2（9.8.2.12）版本用于修复CVE-2024-47223和CVE-2024-41713，强烈建议立即更新

CVE-2024-47223 < MiCollab 9.8 SP2（9.8.2.12）

CVE-2024-41713 < MiCollab 9.8 SP2（9.8.2.12）