CVE-2023-22854

CVSS 9.1 CRITICALEPSS 0.6%CWE-839

En resumen

Un atacante sin autenticación puede descargar cualquier archivo del servidor Mitel MiContact Center Business explotando validación débil de parámetros URL en el componente ccmweb. Esto expone información sensible sin requerir credenciales de acceso.

Detalle técnico

El componente ccmweb en Mitel MiContact Center Business 9.2.2.0–9.4.1.0 falla al validar adecuadamente parámetros de URL, permitiendo descarga arbitraria de archivos sin autenticación (CWE-839). El ataque no requiere credenciales y afecta instalaciones predeterminadas o expuestas, resultando en acceso no autorizado a datos sensibles del servidor.

Resumen generado y traducido por IA a partir de la descripción oficial.

The ccmweb component of Mitel MiContact Center Business server 9.2.2.0 through 9.4.1.0 could allow an unauthenticated attacker to download arbitrary files, due to insufficient restriction of URL parameters. A successful exploit could allow access to sensitive information.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Productos afectados

n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.mitel.com/support/security-advisories https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0001