【漏洞预警】Mitel MiVoice Connect远程代码执行漏洞

SecPulse安全脉搏 2022-07-07 17:18

1. 通告信息

近日，
安识科技
A-Team团队
监测到一则
Mitel MiVoice Connect远程代码执行漏洞
的信息，该漏洞的漏洞编号
为
CVE-2022-29499
，漏洞威胁等级：高危。由于数据验证不足，
Mitel MiVoice Connect 19.2 SP3及之前版本中的Service Appliance 组件(SA 100、SA 400 和 Virtual SA)中存在安全漏洞，可以通过使用特制的请求注入命令，导致远程代码执行。

2. 漏洞概述

CVE
：
CVE-2022-29499

简述：
Mitel MiVoice Connect是加拿大Mitel公司的一款通信和协作工具软件。由于数据验证不足，Mitel MiVoice Connect 19.2 SP3及之前版本中的Service Appliance 组件(SA 100、SA 400 和 Virtual SA)中存在安全漏洞，可以通过使用特制的请求注入命令，导致远程代码执行。

3. 漏洞危害

由于数据验证不足，
Mitel MiVoice Connect 19.2 SP3及之前版本中的Service Appliance 组件(SA 100、SA 400 和 Virtual SA)中存在安全漏洞，可以通过使用特制的请求注入命令，导致远程代码执行。

4. 影响版本

目前受影响的
MiVoice Connect版本：

Mitel MiVoice Connect（包括早期版本 14.2）<= R19.2SP3(22.20.2300.0)

Mitel MiVoice Connect（包括早期版本 14.2）<= R14.x

5. 解决方案

目前此漏洞已经修复，受影响用户可以升级到以下版本：

Mitel已在MiVoice Connect R19.3中修复了此漏洞，企业客户/合作伙伴可参考以下链接获得支持：

https://www.mitel.com/-/media/mitel/file/pdf/support/security-advisories/security-bulletin_22-0002-001-v2.pdf

6. 时间轴

【

】
202
2
年
0
7
月
05
日
安识科技
A
-T
eam团队监测到漏洞公布信息

【

】
2
02
2
年
0
7
月
06
日
安识科技
A-Team团队根据漏洞信息分析

【

】
2
02
2
年
0
7
月
07
日
安识科技
A-Team团队发布安全通告