Mitel Networks, Mivoice MX-One Enterprise Communications platformunu etkileyen eleştirel-şiddetli kimlik doğrulama bypass güvenlik açığı yama yapmak için güvenlik güncellemeleri yayınladı.
MX-One, yüz binlerce kullanıcıyı desteklemek için ölçeklendirebilen şirketin SIP tabanlı iletişim sistemidir.
Kritik güvenlik kusuru, Mivoice MX-One Pressioning Manager bileşeninde keşfedilen yanlış erişim kontrolü zayıflığından kaynaklanmaktadır ve henüz bir CVE kimliği atanmamıştır. Yasalı olmayan saldırganlar, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklık saldırılarında, takılmamış sistemlerde yönetici hesaplarına yetkisiz erişim elde etmek için kullanabilirler.
Mitel’e göre, güvenlik açığı Mivoice MX-One çalışan sürümlerini 7.3 (7.3.0.0.50) ila 7.8 SP1 (7.8.1.0.14) etkiler ve 7.8 (MXO-15711_78SP0) ve 7.8 SP1 (MXO-157711_78SP1) versiyonlarında yamalanmıştır.
Mitel, “MX-ONE hizmetlerini doğrudan genel internete maruz bırakmayın. MX-One sisteminin güvenilir bir ağda konuşlandırıldığından emin olun. Risk, Provizyon Yöneticisi hizmetine erişimi kısıtlayarak azaltılabilir.” Dedi.
Mivoice MX-One sürüm 7.3 ve daha sonra çalıştıran müşterilere, yetkili hizmet ortağı aracılığıyla şirkete bir yama talebi göndermeleri tavsiye edilir.
Bugün, Mitel ayrıca, Micollab işbirliği platformunda, karşılaşmamış cihazlarda keyfi SQL veritabanı komutlarını yürütmek için istismar edilebilen yüksek aralıklı bir SQL enjeksiyon kırılganlığı (CVE-2025-52914) açıkladı.
Bu iki güvenlik hatası vahşi doğada kullanıldığı gibi etiketlenmemiş olsa da, Cisa ABD federalini uyardı ajanslar Ocak ayında, saldırılarda kullanılan ve yönetici ayrıcalıklarına sahip kimliği doğrulanmış tehdit aktörlerinin savunmasız sunucularda keyfi dosyaları okumasına izin verdi.
Bir ay önce, şirket, WatchTowr Labs araştırmacıları tarafından keşfedilen ve saldırganların bir sunucunun dosya sistemindeki dosyalara erişmesine izin verebilecek olan Micollab keyfi bir dosya okuma sıfır gün hatasını (CVE-2024-41713) okudu.
Mitel’in ürünleri, eğitim, sağlık, finansal hizmetler, üretim ve hükümet dahil olmak üzere çeşitli sektörlerde 60.000’den fazla müşteri ve 75 milyondan fazla kullanıcı tarafından kullanılmaktadır.
CISOS, tahta alım almanın bulut güvenliğinin iş değerini nasıl yönlendirdiğine dair net ve stratejik bir bakışla başladığını biliyor.
Bu ücretsiz, düzenlenebilir yönetim kurulu raporu güvertesi, güvenlik liderlerinin risk, etki ve öncelikleri açık iş açısından sunmalarına yardımcı olur. Güvenlik güncellemelerini anlamlı konuşmalara dönüştürün ve toplantı odasında daha hızlı karar verme.