AVIS CERTFR - 2023 - AVI - 0400

AVIS CERT

CERT-FR

Publié le 19 mai 2023 à 18h59

Objet : Multiples vulnérabilités dans les produits Mitel

Référence : CERTFR-2023-AVI-0400

Risque(s)

- Atteinte à la confidentialité des données
- Atteinte à l'intégrité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
- Élévation de privilèges

Systèmes affectés

- Mitel MiCollab versions antérieures à 9.7
- Mitel Connect Mobility Router versions antérieures à 9.6.2304.102
- Mitel MiVoice Connect versions antérieures à 19.3 SP3 (22.24.5800.0)

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Mitel. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une exécution de code arbitraire à distance, une injection de code indirecte à distance (XSS) et une …

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Mitel 23-0007 du 17 mai 2023

https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0007

- Bulletin de sécurité Mitel 23-0006 du 17 mai 2023

https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0006

- Bulletin de sécurité Mitel 23-0005 du 17 mai 2023

https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0005

- Bulletin de sécurité Mitel 23-0004 du 17 mai 2023

https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0004

- Bulletin de sécurité Mitel 23-0003 du 17 mai 2023

https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0003

- Bulletin de sécurité Mitel 23-0002 du 17 mai 2023

https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0002

- Référence CVE CVE-2023-25598

https://www.cve.org/CVERecord?id=CVE-2023-25598

- Référence CVE CVE-2023-25599

https://www.cve.org/CVERecord?id=CVE-2023-25599

- Référence CVE CVE-2023-31457

https://www.cve.org/CVERecord?id=CVE-2023-31457

- Référence CVE CVE-2023-31458

https://www.cve.org/CVERecord?id=CVE-2023-31458

- Référence CVE CVE-2023-31459

https://www.cve.org/CVERecord?id=CVE-2023-31459

- Référence CVE CVE-2023-31460

https://www.cve.org/CVERecord?id=CVE-2023-31460

- Référence CVE CVE-2023-32748

https://www.cve.org/CVERecord?id=CVE-2023-32748

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0400/