Múltiples vulnerabilidades en productos Mitel
- Mitel 6800 Series SIP Phones, versión R6.4.0.SP4 y anteriores;
- Mitel 6900 Series SIP Phones, versión R6.4.0.SP4 y anteriores;
- Mitel 6900w Series SIP Phone, versión R6.4.0.SP4 y anteriores;
- Mitel 6970 Conference Unit, versión R6.4.0.SP4 y anteriores.
Marc Bollhalder de InfoGuard Labs ha descubierto 2 vulnerabilidades, una de severidad crítica y otra de severidad media que, de ser explotadas, podrían permitir a un atacante remoto, no autenticado, ejecutar comandos arbitrarios en el teléfono, y subir ficheros WAV arbitrarios.
Actualizar los productos a alguna de las siguientes versiones:
- Mitel 6800 Series SIP Phones, versión R6.4.0.SP5 o posterior;
- Mitel 6900 Series SIP Phones, versión R6.4.0.SP5 o posterior;
- Mitel 6900w Series SIP Phone, versión R6.4.0.SP5 o posterior;
- Mitel 6970 Conference Unit, versión R6.4.0.SP5 o posterior.
La vulnerabilidad, de severidad crítica, permite a un atacante, no autenticado, realizar una inyección de comandos, por una depuración insuficiente de los parámetros. Si se explota, puede permitir a un atacante ejecutar comandos arbitrarios en el teléfono permitiéndole acceder o modificar datos de configuración e información sensible del sistema y del usuario; lo que afecta a la disponibilidad y la operativa del dispositivo. Se le ha asignado el identificador CVE-2025-47188 para esta vulnerabilidad.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2025-47187 y su detalle puede consultarse en la referencias.
