- Meves mx-wan un error en el acceso admin
- Una debilidad de Micollab permite que el comando voluntario ejecute
- Los parches se publicaron para ambos, por lo que los usuarios deben actualizarse en este momento
Las redes Mitel han parcheado dos debilidades importantes en sus productos que se pueden abusar para lograr el acceso de administrador e instalar códigos contaminados en los últimos puntos comprometidos.
En un asesor de seguridad, Mitel dijo que inventó un error de derivación de la autenticación de calidad crítica en la plataforma MX-One, de comunicación y cooperación unificada de grado empresarial (UCC). MX-One está diseñado para escalar cientos a 100,000 usuarios en una sola distribución o un sistema centralizado basado en SIP y admite la implementación de la nube Prime y privada/pública.
El gerente de provisión se inventó en el componente de un control de acceso inapropiado, que podría lograr el acceso administrativo sin la interacción de caza de los actores de amenaza.
Se han lanzado parches
Durante la prensa, el error aún no se ha asignado una CVE, pero se le dio una puntuación de intensidad de 9.4/10 (crítica).
Afecta las versiones 7.8 SP 1 (7.8.1.0.14) de 7.3 (7.3.0.0.50) y en las versiones 7.8 (MXO -15711_78sp0) y 7.8 SP1 (MXO -15711_78 SP 1) se presentaron.
“Los servicios de MX-WAN no se publican directamente en Internet público. Asegúrese de que el sistema MX-ONE se haya implementado en una red confiable. El gerente de disposiciones puede reducir el riesgo al restringir el acceso al servicio”, dijo Milet’s Avelly.
El segundo error que se determina es la plataforma de cooperación de la compañía, una debilidad de inyección SQL de alta intensidad que se encuentra en Micollab. Se ha rastreado como CVE -2025-52914 y permite a los actores de amenaza hacer cumplir los comandos de la base de datos SQL voluntario.
La buena noticia es que no hay evidencia de que estos dos errores hayan sido torturados en el tejido, por lo que no hay amenazas que los actores aún no hayan encontrado que sea seguro pensar.
Sin embargo, muchos ciberdelincuentes solo esperan la noticia de una vulnerabilidad, la apuesta de que muchas compañías no se encuentran a tiempo.
Aunque reduce la cantidad de daños potenciales, hace que el resto de las piezas sean mucho más fáciles y este número a menudo es suficiente para alentar a los actores de amenaza.
A través de Computadora
