CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-13863
https://notcve.org/view.php?id=CVE-2020-13863
The SAS portal of Mitel MiCollab before 9.1.3 could allow an attacker to access user data by performing a header injection in HTTP responses, due to the improper handling of input parameters. A successful exploit could allow an attacker to access user information. El portal SAS de Mitel MiCollab versiones anteriores a 9.1.3, podría permitir a un atacante acceder a los datos de usuario al llevar a cabo una inyección de encabezado en las respuestas HTTP, debido al manejo inapropiado de los parámetros de entrada. Una explotación con éxito podría permitir a un atacante acceder a la información del usuario • https://www.mitel.com/support/security-advisories https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-20-0008 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 5.3EPSS: 76%CPEs: 2EXPL: 1CVE-2020-11798 – Mitel MiCollab AWV 8.1.2.4 and 9.1.3 - Directory Traversal and LFI
https://notcve.org/view.php?id=CVE-2020-11798
A Directory Traversal vulnerability in the web conference component of Mitel MiCollab AWV before 8.1.2.4 and 9.x before 9.1.3 could allow an attacker to access arbitrary files from restricted directories of the server via a crafted URL, due to insufficient access validation. A successful exploit could allow an attacker to access sensitive information from the restricted directories. Una vulnerabilidad de Salto de Directorio en el componente web conference de Mitel MiCollab AWV versiones anteriores a 8.1.2.4, y versiones 9.x anteriores a 9.1.3, podría permitir a un atacante acceder a archivos arbitrarios desde directorios restringidos del servidor por medio de una URL diseñada, debido a una comprobación de acceso insuficiente. Una explotación con éxito podría permitir a un atacante acceder a información confidencial desde los directorios restringidos Mitel MiCollab AWV versions 8.1.2.4 and 9.1.3 suffers from a directory traversal and local file inclusion vulnerabilities. • https://www.exploit-db.com/exploits/51308 http://packetstormsecurity.com/files/171751/Mitel-MiCollab-AWV-8.1.2.4-9.1.3-Directory-Traversal-LFI.html https://www.mitel.com/-/media/mitel/file/pdf/support/security-advisories/security-bulletin-20-0005-01.pdf https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-20-0005 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-19608
https://notcve.org/view.php?id=CVE-2019-19608
A SQL injection vulnerability in in the web conferencing component of Mitel MiCollab AWV before 8.1.2.2 could allow an unauthenticated attack due to insufficient input validation for the registeredList.cgi page. A successful exploit could allow an attacker to extract sensitive information from the database and execute arbitrary scripts. Una vulnerabilidad de inyección SQL en el componente web conferencing de Mitel MiCollab AWV versiones anteriores a 8.1.2.2, podría permitir un ataque no autenticado debido a una comprobación de entrada insuficiente en la página registerList.cgi. Una explotación con éxito podría permitir a un atacante extraer información confidencial de la base de datos y ejecutar scripts arbitrarios. • https://www.mitel.com/support/security-advisories https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-19-0007 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-19607
https://notcve.org/view.php?id=CVE-2019-19607
A SQL injection vulnerability in the web conferencing component of Mitel MiCollab AWV before 8.1.2.2 could allow an unauthenticated attack due to insufficient input validation for the session parameter. A successful exploit could allow an attacker to extract sensitive information from the database and execute arbitrary scripts. Una vulnerabilidad de inyección SQL en el componente web conferencing de Mitel MiCollab AWV versiones anteriores a 8.1.2.2, podría permitir un ataque no autenticado debido a una comprobación de entrada insuficiente en el parámetro session. Una explotación con éxito podría permitir a un atacante extraer información confidencial de la base de datos y ejecutar scripts arbitrarios. • https://www.mitel.com/support/security-advisories https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-19-0007 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2019-19371
https://notcve.org/view.php?id=CVE-2019-19371
A cross-site scripting (XSS) vulnerability in the web conferencing component of Mitel MiCollab AWV before 8.1.2.2 could allow an unauthenticated attacker to conduct a reflected cross-site scripting (XSS) attack due to insufficient validation in the join meeting interface. A successful exploit could allow an attacker to execute arbitrary scripts. Una vulnerabilidad de tipo cross-site scripting (XSS) en el componente web conferencing de Mitel MiCollab AWV versiones anteriores a 8.1.2.2, podría permitir a un atacante no autenticado conducir un ataque de tipo cross-site scripting (XSS) reflejado debido a una comprobación insuficiente en la interfaz join meeting. Una explotación con éxito podría permitir a un atacante ejecutar scripts arbitrarios. • https://www.mitel.com/support/security-advisories https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-19-0007 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •