| Описание уязвимости | Уязвимость компонента Edge Gateway системы бизнес-телефонии MiVoice Connect VoIP-устройств Mitel связана с отсутствием принудительной смены пароля при первоначальной установке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вносить произвольные изменения в конфигурацию и выполнять произвольные команды |
| Вендор | Mitel Networks Corp. |
| Наименование ПО | MiVoice Connect |
| Версия ПО | до 19.3 SP2 (22.24.1500.0) включительно |
| Тип ПО | Сетевое средство, Сетевое программное средство |
| Операционные системы и аппаратные платформы | Данные уточняются |
| Тип ошибки | Жесткое кодирование паролей, Неправильный контроль доступа, Слабые требования к паролям |
| Идентификатор типа ошибки | CWE-259, CWE-284, CWE-521 |
| Класс уязвимости | Уязвимость архитектуры |
| Дата выявления | 17.05.2023 |
| Базовый вектор уязвимости |
|
| Уровень опасности уязвимости | Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8) |
| Возможные меры по устранению уязвимости |
Использование рекомендаций производителя:
https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0005 Компенсирующие меры: смена пароля по умолчанию и задание пароля в соответствии с парольной политикой, принятой в организации. |
| Статус уязвимости | Подтверждена производителем |
| Наличие эксплойта | Данные уточняются |
| Способ эксплуатации |
|
| Способ устранения | Обновление программного обеспечения |
| Информация об устранении | Уязвимость устранена |
| Ссылки на источники | |
| Идентификаторы других систем описаний уязвимостей |
|
| Прочая информация | Данные уточняются |