CVSS: 8.8EPSS: 2%CPEs: 1EXPL: 0CVE-2020-12456
https://notcve.org/view.php?id=CVE-2020-12456
A remote code execution vulnerability in Mitel MiVoice Connect Client before 214.100.1223.0 could allow an attacker to execute arbitrary code in the chat notification window, due to improper rendering of chat messages. A successful exploit could allow an attacker to steal session cookies, perform directory traversal, and execute arbitrary scripts in the context of the Connect client. Una vulnerabilidad de ejecución de código remota en Mitel MiVoice Connect Client versiones anteriores a 214.100.1223.0, podría permitir a un atacante ejecutar código arbitrario en la ventana de notificación de chat, debido a una representación inapropiada de los mensajes de chat. Un explotación con éxito podría permitir a un atacante robar cookies de sesión, llevar a cabo un salto de directorio y ejecutar scripts arbitrarios en el contexto del cliente Connect • https://www.mitel.com/support/security-advisories https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-20-0006 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.5EPSS: 0%CPEs: 77EXPL: 0CVE-2020-13617
https://notcve.org/view.php?id=CVE-2020-13617
The Web UI component of Mitel MiVoice 6800 and 6900 series SIP Phones with firmware before 5.1.0.SP5 could allow an unauthenticated attacker to expose sensitive information due to improper memory handling during failed login attempts. El componente de la Interfaz de Usuario Web de los Teléfonos SIP de la Serie Mitel MiVoice 6800 y 6900 con versiones de firmware anteriores a 5.1.0.SP5, podría permitir a un atacante no autenticado exponer información confidencial debido a un manejo inapropiado de la memoria durante los intentos fallidos de inicio de sesión • https://www.mitel.com/support/security-advisories https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-20-0007 • CWE-307: Improper Restriction of Excessive Authentication Attempts •
CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2020-13767
https://notcve.org/view.php?id=CVE-2020-13767
The Mitel MiCollab application before 9.1.332 for iOS could allow an unauthorized user to access restricted files and folders due to insufficient access control. An exploit requires a rooted iOS device, and (if successful) could allow an attacker to gain access to sensitive information, La aplicación Mitel MiCollab versiones anteriores a 9.1.332, para iOS podría permitir a un usuario no autorizado acceder a archivos y carpetas restringidos debido a un control de acceso insuficiente. Una explotación requiere un dispositivo iOS rooteado y (si tiene éxito) podría permitir a un atacante obtener acceso a información confidencial • https://www.mitel.com/support/security-advisories https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-20-0008 •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-13863
https://notcve.org/view.php?id=CVE-2020-13863
The SAS portal of Mitel MiCollab before 9.1.3 could allow an attacker to access user data by performing a header injection in HTTP responses, due to the improper handling of input parameters. A successful exploit could allow an attacker to access user information. El portal SAS de Mitel MiCollab versiones anteriores a 9.1.3, podría permitir a un atacante acceder a los datos de usuario al llevar a cabo una inyección de encabezado en las respuestas HTTP, debido al manejo inapropiado de los parámetros de entrada. Una explotación con éxito podría permitir a un atacante acceder a la información del usuario • https://www.mitel.com/support/security-advisories https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-20-0008 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 5.3EPSS: 76%CPEs: 2EXPL: 1CVE-2020-11798 – Mitel MiCollab AWV 8.1.2.4 and 9.1.3 - Directory Traversal and LFI
https://notcve.org/view.php?id=CVE-2020-11798
A Directory Traversal vulnerability in the web conference component of Mitel MiCollab AWV before 8.1.2.4 and 9.x before 9.1.3 could allow an attacker to access arbitrary files from restricted directories of the server via a crafted URL, due to insufficient access validation. A successful exploit could allow an attacker to access sensitive information from the restricted directories. Una vulnerabilidad de Salto de Directorio en el componente web conference de Mitel MiCollab AWV versiones anteriores a 8.1.2.4, y versiones 9.x anteriores a 9.1.3, podría permitir a un atacante acceder a archivos arbitrarios desde directorios restringidos del servidor por medio de una URL diseñada, debido a una comprobación de acceso insuficiente. Una explotación con éxito podría permitir a un atacante acceder a información confidencial desde los directorios restringidos Mitel MiCollab AWV versions 8.1.2.4 and 9.1.3 suffers from a directory traversal and local file inclusion vulnerabilities. • https://www.exploit-db.com/exploits/51308 http://packetstormsecurity.com/files/171751/Mitel-MiCollab-AWV-8.1.2.4-9.1.3-Directory-Traversal-LFI.html https://www.mitel.com/-/media/mitel/file/pdf/support/security-advisories/security-bulletin-20-0005-01.pdf https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-20-0005 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •