【安全资讯】CVE-2024-41713 (CVSS 9.8): 未修补的MiCollab漏洞允许未经授权访问

概要：

Mitel公司近日发布了针对其MiCollab平台的新发现漏洞CVE-2024-41713的严重安全警告。该漏洞的CVSS评分为9.8，属于路径遍历漏洞，可能导致未经身份验证的攻击者获取敏感信息并在系统上执行管理操作，给使用该产品的组织带来重大风险。

主要内容：

CVE-2024-41713漏洞影响MiCollab的NuPoint统一消息（NPM）组件，根源在于该组件的输入验证不足。根据安全警告，攻击者可以利用此路径遍历漏洞进行攻击，而无需身份验证。这一缺陷的存在使得攻击者能够访问包括非敏感用户和网络信息在内的配置数据，并可能在MiCollab服务器上执行未经授权的管理操作。

Mitel警告称，该漏洞可能严重影响系统的机密性、完整性和可用性。漏洞的发现归功于watchTowr的Sonny Macdonald，他的及时发现促使Mitel关注这一关键问题。Mitel建议所有使用受影响版本的客户立即更新，推荐升级至MiCollab 9.8 SP2（9.8.2.12）或更高版本，以确保系统免受此关键漏洞的影响。

对于无法立即升级的用户，Mitel还提供了针对9.7及以上版本的补丁，作为在完成全面升级前的替代解决方案。Mitel的知识管理系统（KMS）中提供了详细的补丁说明。组织被鼓励迅速采取行动，因为未修补的系统可能导致未经授权的访问和显著的运营中断。