MiCollab

Die Schwachstelle betrifft die Kommunikations- und Kollaborationsplattform MiCollab von Mitel. Ursache ist eine unzureichende Bereinigung von Eingaben, durch die sich ein Pfadwechsel über das eigentlich vorgesehene Verzeichnis hinaus erzwingen lässt (Path Traversal). Ausnutzen kann dies ein angemeldeter Angreifer, der bereits über administrative Rechte verfügt: Er ist damit in der Lage, lokale Dateien auf dem System auszulesen, die normalerweise dem Administratorzugriff vorbehalten sind. Der so mögliche Informationsabfluss beschränkt sich auf nicht sensible Systeminformationen. Über das reine Lesen hinaus reicht der Defekt nicht – Dateien lassen sich dadurch weder verändern noch lassen sich höhere Berechtigungen erlangen. Betroffen sind Installationen der Plattform, deren Verwaltungszugang einem Angreifer offensteht. Der Lesezugriff kann zudem als Baustein dienen, um in Verbindung mit weiteren Lücken einen umfassenderen unbefugten Dateizugriff zu erreichen.