2025年7月24日Ravie Lakshmanan脆弱性 / ネットワークセキュリティ
Mitelは、攻撃者が認証保護をバイパスできる重大なセキュリティ脆弱性に対応するため、MiVoice MX-ONE向けのセキュリティアップデートを公開しました。
「Mitel MiVoice MX-ONEのプロビジョニングマネージャーコンポーネントに認証バイパスの脆弱性が確認されており、これが悪用された場合、不適切なアクセス制御により認証されていない攻撃者が認証バイパス攻撃を実行できる可能性があります」と同社は水曜日に公開したアドバイザリで述べています。
「この脆弱性が悪用されると、攻撃者がシステム内のユーザーまたは管理者アカウントへ不正アクセスできる可能性があります。」
この問題にはまだCVE識別子が割り当てられていませんが、CVSSスコアは最大10.0中9.4となっています。MiVoice MX-ONEのバージョン7.3(7.3.0.0.50)から7.8 SP1(7.8.1.0.14)までが影響を受けます。
この問題へのパッチは、MX-ONEバージョン7.8および7.8 SP1向けに、それぞれMXO-15711_78SP0およびMXO-15711_78SP1で提供されています。MiVoice MX-ONEバージョン7.3以上を利用している顧客は、認定サービスパートナーにパッチリクエストを提出することが推奨されています。
修正が適用されるまでの緩和策として、MX-ONEサービスをパブリックインターネットに直接公開することを制限し、信頼できるネットワーク内に配置することが推奨されています。
この認証バイパスの脆弱性に加え、MitelはMiCollabにおける高深刻度の脆弱性(CVE-2025-52914、CVSSスコア:8.8)を解決するアップデートも提供しています。この脆弱性が悪用された場合、認証済みの攻撃者がSQLインジェクション攻撃を実行できる可能性があります。
「この脆弱性が悪用されると、攻撃者がユーザーのプロビジョニング情報へアクセスしたり、システムの機密性、完全性、可用性に影響を与える可能性のある任意のSQLデータベースコマンドを実行できる可能性があります」とMitelは述べています。
この脆弱性は、MiCollabバージョン10.0(10.0.0.26)から10.0 SP1 FP1(10.0.1.101)、および9.8 SP3(9.8.3.1)以前に影響し、バージョン10.1(10.1.0.10)、9.8 SP3 FP1(9.8.3.103)以降で修正されています。
Mitel製品の脆弱性が過去に実際の攻撃や活発な攻撃の対象となっていることから、ユーザーは潜在的な脅威を軽減するため、できるだけ早くインストールを更新することが重要です。
翻訳元: https://thehackernews.com/2025/07/critical-mitel-flaw-lets-hackers-bypass.html