Vulnerabilidad en una URL en el componente web conference de Mitel MiCollab AWV (CVE-2020-11798)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
10/06/2020
Última modificación:
06/04/2023
Descripción
Una vulnerabilidad de Salto de Directorio en el componente web conference de Mitel MiCollab AWV versiones anteriores a 8.1.2.4, y versiones 9.x anteriores a 9.1.3, podría permitir a un atacante acceder a archivos arbitrarios desde directorios restringidos del servidor por medio de una URL diseñada, debido a una comprobación de acceso insuficiente. Una explotación con éxito podría permitir a un atacante acceder a información confidencial desde los directorios restringidos
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mitel:micollab_audio\,_web_\&_video_conferencing:*:*:*:*:*:*:*:* | 8.1.2.4 (excluyendo) | |
| cpe:2.3:a:mitel:micollab_audio\,_web_\&_video_conferencing:*:*:*:*:*:*:*:* | 9.0 (incluyendo) | 9.1.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/171751/Mitel-MiCollab-AWV-8.1.2.4-9.1.3-Directory-Traversal-LFI.html
- https://www.mitel.com/-/media/mitel/file/pdf/support/security-advisories/security-bulletin-20-0005-01.pdf
- https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-20-0005