Vulnerabilidad en la funcionalidad test durante el inicio del sistema en los teléfonos IP de la serie 6900 de Mitel (MiNet) (CVE-2022-29854)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/05/2022
Última modificación:
29/10/2022
Descripción
Una vulnerabilidad en los teléfonos IP de la serie 6900 de Mitel (MiNet), excepto el 6970, versiones 1.8 (1.8.0.12) y anteriores, podría permitir a un atacante no autenticado con acceso físico al teléfono conseguir acceso de root debido a un control de acceso insuficiente para la funcionalidad test durante el inicio del sistema. Una explotación con éxito podría permitir el acceso a información confidencial y una ejecución de código
Impacto
Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
7.20
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:mitel:minet_firmware:*:*:*:*:*:*:*:* | 1.8.0.12 (incluyendo) | |
| cpe:2.3:h:mitel:6905:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:mitel:6910:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:mitel:6920:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:mitel:6930:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:mitel:6930_sip:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:mitel:6940:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:mitel:6940_sip:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/167547/Mitel-6800-6900-Series-SIP-Phones-Backdoor-Access.html
- http://seclists.org/fulldisclosure/2022/Jun/32
- https://www.mitel.com/support/security-advisories
- https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-22-0003
- https://www.syss.de/pentest-blog/undocumented-functionality-backdoor-in-mitel-desk-phones-syss-2022-021