Mitel Networksは、同社のMiVoice MX-ONEエンタープライズコミュニケーションプラットフォームに影響を与える重大な認証バイパス脆弱性を修正するためのセキュリティアップデートをリリースしました。
MX-ONEは、同社のSIPベースのコミュニケーションシステムで、数十万人規模のユーザーをサポートできる拡張性を持っています。
この重大なセキュリティ脆弱性は、MiVoice MX-ONE Provisioning Managerコンポーネントで発見された不適切なアクセス制御の弱点によるもので、CVE IDはまだ割り当てられていません。認証されていない攻撃者が、ユーザーの操作を必要としない低複雑度の攻撃で、未修正システムの管理者アカウントに不正アクセスできる可能性があります。
Mitelによると、この脆弱性はバージョン7.3(7.3.0.0.50)から7.8 SP1(7.8.1.0.14)までのMiVoice MX-ONEに影響し、バージョン7.8(MXO-15711_78SP0)および7.8 SP1(MXO-15711_78SP1)で修正されました。
「MX-ONEサービスを直接インターネットに公開しないでください。MX-ONEシステムは信頼できるネットワーク内に展開してください。Provisioning Managerサービスへのアクセスを制限することでリスクを軽減できます」とMitelは述べています。
MiVoice MX-ONEバージョン7.3以降を使用している顧客は、認定サービスパートナーを通じてパッチリクエストを同社に提出することが推奨されています。
本日、Mitelはまた、同社のMiCollabコラボレーションプラットフォームにおける高深刻度のSQLインジェクション脆弱性(CVE-2025-52914)も公表しました。この脆弱性は、未修正デバイスで任意のSQLデータベースコマンドを実行するために悪用される可能性があります。
これら2つのセキュリティバグは現時点で実際に悪用されたとの報告はありませんが、CISAは1月に、管理者権限を持つ認証済みの脅威アクターが脆弱なサーバー上の任意のファイルを読み取ることができるMiCollabのパストラバーサル脆弱性(CVE-2024-55550)が攻撃に使用されたことについて米国連邦機関に警告しました。
その1か月前、同社はwatchTowr Labsの研究者によって発見されたMiCollabの任意ファイル読み取りゼロデイバグ(CVE-2024-41713)を修正しました。この脆弱性は、攻撃者がサーバーのファイルシステム上のファイルにアクセスできる可能性がありました。
Mitelの製品は、教育、医療、金融サービス、製造、政府などさまざまな分野で、6万社以上、7,500万人を超えるユーザーに利用されています。
CISOが実際に使うボードレポートデッキ
CISOは、クラウドセキュリティがどのようにビジネス価値を生み出すかを明確かつ戦略的に示すことが、取締役会の支持を得る第一歩であることを理解しています。
この無料で編集可能なボードレポートデッキは、セキュリティリーダーがリスク、影響、優先事項をビジネスの観点から明確に提示するのに役立ちます。セキュリティアップデートを意味のある会話と迅速な意思決定に変えましょう。