Mitel ha publicado actualizaciones de seguridad para abordar un defecto de seguridad crítico en Mivoice MX-One que podría permitir que un atacante elude las protecciones de autenticación.
«Se ha identificado una vulnerabilidad de derivación de la autenticación en el componente del gerente de aprovisionamiento de Mitel Mivoice MX-ONE, que, si se explota con éxito, podría permitir que un atacante no autenticado realice un ataque de derivación de autenticación debido al control de acceso inadecuado», dijo la compañía en un asesor publicado el miércoles.
«Una hazaña exitosa de esta vulnerabilidad podría permitir que un atacante obtenga acceso no autorizado a las cuentas de usuario o administrador en el sistema».
A la deficiencia, a la que aún no se ha asignado un identificador CVE, tiene una puntuación CVSS de 9.4 de un máximo de 10.0. Afecta las versiones MIVOICE MX-ONE de 7.3 (7.3.0.0.50) a 7.8 SP1 (7.8.1.0.14).
Los parches para el problema se han puesto a disposición en MXO-15711_78SP0 y MXO-15711_78SP1 para las versiones MX-ONE 7.8 y 7.8 SP1, respectivamente. Se recomienda a los clientes que usan Mivoice MX-One versión 7.3 y superior para enviar una solicitud de parche a su socio de servicio autorizado.
Como las mitigaciones hasta que se puedan aplicar soluciones, se recomienda limitar la exposición directa de los servicios MX-one a Internet público y asegurar que se coloquen dentro de una red confiable.
Junto con la falla de derivación de la autenticación, Mitel ha enviado actualizaciones para resolver una vulnerabilidad de alta severidad en Micollab (CVE-2025-52914, puntaje CVSS: 8.8) que, si se explota con éxito, podría permitir a un atacante autenticado para llevar a cabo un ataque de inyección SQL.
«Una exploit exitosa podría permitir que un atacante acceda a la información de aprovisionamiento del usuario y ejecute comandos arbitrarios de la base de datos SQL con posibles impactos en la confidencialidad, la integridad y la disponibilidad del sistema», dijo Mitel.
La vulnerabilidad, que impacta las versiones de Micollab 10.0 (10.0.0.26) a 10.0 SP1 FP1 (10.0.1.101) y 9.8 SP3 (9.8.3.1) y anteriormente, se ha resuelto en las versiones 10.1 (10.1.0.10), 9.8 SP3 FP1 (9.8.3.103), y más tarde.
Con las deficiencias en los dispositivos Mitel que se encuentran bajo ataques activos en el pasado, es esencial que los usuarios se muevan rápidamente para actualizar sus instalaciones lo antes posible para mitigar las posibles amenazas.
