Mehrere Sicherheitslücken in Mitel MiCollab

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte am 10. Oktober 2024 eine Schwachstellenmeldung zu den folgenden 5 Sicherheitslücken in Mitel Micollab:

• CVE-2024-41713 mit einem CVSS-Score von 9.8/10 (kritisch) ermöglicht Path-Traversal-Attacken.
• CVE-2024-47223 mit einem CVSS-Score von 9.4/10 (kritisch) ermöglicht SQL-Injection-Attacken, um Datenbanktabellen zu manipulieren oder zu löschen.
• CVE-2024-47912 mit einem CVSS-Score von 8.2/10 (hoch) ermöglicht Angreifenden, Daten offenzulegen und abzugreifen.
• CVE-2024-47189 mit einem CVSS-Score von 7.7/10 (hoch) ermöglicht SQL-Injection-Attacken.
• CVE-2024-47224 mit einem CVSS-Score von 7.0/10 (hoch) ermöglicht Angreifenden, URLs zu manipulieren und darüber im Nachgang Phishing-Attacken durchzuführen.

Die Schwachstellen betreffen die MiCollab-Versionen 9.8 SP1 FP2 (9.8.1.201) und älter. Mitel stellt mit der Version 9.8 SP2 (9.8.2.12) eine abgesicherte Version zur Verfügung. 

• Installieren Sie umgehend die MiCollab-Version 9.8 SP2 (9.8.2.12).
• Wenn Sie nicht unmittelbar auf diese Version aktualisieren können, installieren Sie den von Mitel bereitgestellten temporären Patch. Dieser gilt jedoch nur für die MiCollab-Versionen 9.8, 9.8 SP1 und 9.8 SP1FP1.