企业通信解决方案供应商Mitel近日发布安全公告,披露其MiVoice MX-ONE平台存在一起关键级别身份验证绕过漏洞。该问题源于MiVoice MX-ONE Provisioning Manager组件的不当访问控制,尚未获得CVE编号。攻击者可通过无需用户交互、复杂度较低的攻击路径绕过身份验证,进而在未打补丁系统上获得管理员权限。
Mitel指出,受影响的版本包括7.3(7.3.0.0.50)至7.8 SP1(7.8.1.0.14),官方已在7.8(MXO-15711_78SP0)和7.8 SP1(MXO-15711_78SP1)版本中完成修复,并建议使用MiVoice MX-ONE 7.3及以后版本的客户通过授权服务合作伙伴申请补丁。同时,Mitel提醒用户不要将MX-ONE服务直接暴露于公共互联网,建议确保该系统部署在受信任网络内部,并通过限制访问来降低风险。
此外,Mitel当日还公布了MiCollab平台一处高危SQL注入漏洞(CVE-2025-52914),允许攻击者远程执行SQL命令。尽管目前尚无迹象显示上述漏洞被利用,但安全专家提醒用户尽快采取补救措施。Mitel产品广泛应用于教育、医疗、金融、制造和政府等领域,涉及超过6万家客户和7,500万用户。