Mitel 6800/6900/6900wシリーズSIP電話引数インジェクションの脆弱性(CVE-2024-41710)

high Nessus プラグイン ID 327410

概要

リモートデバイスに、ベンダーが提供したセキュリティパッチがありません。

説明

自己報告されたバージョンによると、SIPソフトウェアを実行しているリモートのMitel IP Phoneは引数インジェクションの脆弱性の影響を受けます:

- R6.4.0.HF1(R6.4.0.136)までの Mitel 6800 シリーズ、6900 シリーズ、および 6900w シリーズの SIP Phone の脆弱性により、起動プロセスの際のパラメーターサニタイズが不十分なために、管理者権限のある認証された攻撃者が引数インジェクション攻撃を仕掛ける可能性があります。悪用に成功すると、攻撃者がシステムのコンテキスト内で任意のコマンドを実行する可能性があります。(CVE-2024-41710)

詳細については、付属のMitel製品セキュリティアドバイザリを参照してください。

ソリューション

バージョン R6.4.0.HF2 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?18fd5b1e

http://www.nessus.org/u?54253096

プラグインの詳細

深刻度: High

ID: 327410

ファイル名: mitel_ip_phone_6_4_0_137.nasl

バージョン: 1.2

タイプ: Remote

ファミリー: Misc.

公開日: 2026/7/16

更新日: 2026/7/17

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.7

パーセンタイル: 99.1

CVSS v2

リスクファクター: High

基本値: 8.3

現状値: 6.9

ベクトル: CVSS2#AV:N/AC:L/Au:M/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-41710

CVSS v3

リスクファクター: High

基本値: 7.2

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

脆弱性情報

CPE: x-cpe:/h:mitel:ip_phone, x-cpe:/o:mitel:sip_firmware

必要な KB アイテム: installed_sw/Mitel IP Phone

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/7/17

脆弱性公開日: 2024/7/17

参照情報

CVE: CVE-2024-41710

CWE: 88