Mitel, bir saldırganın kimlik doğrulama korumalarını atlamasına izin verebilecek Mivoice MX-One’da kritik bir güvenlik kusurunu ele almak için güvenlik güncellemeleri yayınladı.
Çarşamba günü yaptığı açıklamada, “Başarılı bir şekilde sömürülürse, yanlış bir saldırganın uygunsuz erişim kontrolü nedeniyle bir kimlik doğrulama baypası saldırısı gerçekleştirmesine izin verebilecek Mitel Mivoice MX-One’ın Provisioning Manager bileşeninde bir kimlik doğrulama baypası güvenlik açığı tespit edildi.”
“Bu güvenlik açığının başarılı bir şekilde kullanılması, bir saldırganın sistemdeki kullanıcı veya yönetici hesaplarına yetkisiz erişim elde etmesine izin verebilir.”
Henüz bir CVE tanımlayıcısı atanmamış olan eksiklik, maksimum 10.0 üzerinden 9.4’lük bir CVSS puanı taşıyor. 7.3 (7.3.0.0.50) ile 7.8 SP1’den (7.8.1.0.14) Mivoice MX-One sürümlerini etkiler.
Sorun için yamalar sırasıyla MXO-15711_78SP0 ve MXO-15711_78SP1’de MX-One sürüm 7.8 ve 7.8 SP1 için sunulmuştur. Mivoice MX-One sürüm 7.3 ve üstü kullanan müşterilerin, yetkili hizmet ortaklarına bir yama isteği göndermeleri önerilir.
Düzeltmeler uygulanana kadar azaltma nedeniyle, MX-ONE hizmetlerinin kamuya açık internete doğrudan maruz kalması ve güvenilir bir ağa yerleştirilmesini sağlamanız önerilir.
Kimlik doğrulama bypass kusurunun yanı sıra Mitel, başarılı bir şekilde sömürülürse, bir SQL enjeksiyon saldırısı gerçekleştirmesine izin verebilecek Micollab’da (CVE-2025-52914, CVSS skoru: 8.8) yüksek şiddetli bir güvenlik açığını çözmek için güncellemeler gönderdi.
Mitel, “Başarılı bir istismar, bir saldırganın kullanıcı sağlama bilgilerine erişmesine ve sistemin gizliliği, bütünlüğü ve kullanılabilirliği üzerindeki potansiyel etkileri olan keyfi SQL veritabanı komutlarını yürütmesine izin verebilir.” Dedi.
Micollab sürümlerini 10.0 (10.0.0.26) ila 10.0 SP1 FP1 (10.0.1.101) ve 9.8 SP3 (9.8.3.1) ve daha önceki sürümleri etkileyen güvenlik açığı, 10.1 (10.1.0.10), 9.8 SP3 FP1 (9.8.3.103) sürümlerinde çözülmüştür.
Mitel cihazlarındaki eksikliklerin geçmişte aktif saldırılara girmesiyle, kullanıcıların potansiyel tehditleri azaltmak için kurulumlarını mümkün olan en kısa sürede güncellemek için hızlı bir şekilde hareket etmeleri önemlidir.