أصدرت شركة Mitel تحديثات أمنية لمعالجة ثغرة حرجة في نظام MiVoice MX-ONE تُمكّن المهاجمين من تجاوز آليات المصادقة والوصول غير المصرح به إلى النظام.
وجاء في التحذير الأمني الصادر عن الشركة أن “ثغرة تجاوز مصادقة تم اكتشافها في مكون Provisioning Manager ضمن MiVoice MX-ONE، حيث قد يتمكن مهاجم غير مصادق من تنفيذ هجوم تجاوز المصادقة بسبب ضعف في التحكم بالوصول”.
وقد يتيح استغلال هذه الثغرة بنجاح للمهاجمين الدخول إلى حسابات المستخدمين أو المسؤولين في النظام بدون الحاجة إلى بيانات اعتماد.
نطاق التأثر والإصلاحات المتوفرة
تحمل الثغرة تصنيفًا مرتفعًا بدرجة 9.4 من أصل 10 على مقياس CVSS، على الرغم من أنها لم تُمنح بعد رقم تعريف CVE رسمي. وتؤثر الثغرة على إصدارات MiVoice MX-ONE من 7.3 (7.3.0.0.50) وحتى 7.8 SP1 (7.8.1.0.14).
تم توفير تصحيحات لهذه الثغرة ضمن الحزم MXO-15711_78SP0 وMXO-15711_78SP1 للإصدارات 7.8 و7.8 SP1 على التوالي. ويُنصح العملاء الذين يستخدمون إصدار 7.3 أو أعلى بتقديم طلب تصحيح عبر شركائهم المعتمدين في الدعم الفني.
وبينما يُنتظر تطبيق التحديثات، توصي Mitel بتقليل تعرض خدمات MX-ONE المباشر للإنترنت العام، ووضعها داخل شبكات موثوقة.
ثغرة خطيرة أخرى في MiCollab
إلى جانب الثغرة الأساسية، أصدرت Mitel أيضًا تحديثًا لمعالجة ثغرة شديدة الخطورة في نظام MiCollab تُعرف بـ CVE-2025-52914، وتحمل درجة CVSS تبلغ 8.8.
وتكمن هذه الثغرة في إمكانية تنفيذ هجوم حقن أوامر SQL (SQL Injection) من قبل مهاجم مصادق، ما قد يسمح له بالوصول إلى معلومات إعدادات المستخدم وتنفيذ أوامر SQL تعسفية في قاعدة البيانات، مما يؤثر على سرية البيانات وسلامتها وتوافرها.
تؤثر هذه الثغرة على إصدارات MiCollab من 10.0 (10.0.0.26) إلى 10.0 SP1 FP1 (10.0.1.101) وكذلك الإصدار 9.8 SP3 (9.8.3.1) وما قبله. وتمت معالجتها في الإصدارات 10.1 (10.1.0.10) و9.8 SP3 FP1 (9.8.3.103) وما بعدها.
