Mitel整合式通訊系統MX-ONE存在重大漏洞，恐被用於繞過身分驗證

加拿大電信業者Mitel發布資安公告，指出企業通訊平臺MX-ONE存在重大層級的身分驗證繞過資安漏洞，影響7.3至7.8 SP1版，CVSS風險達到9.4，該公司也已針對此漏洞發布修補程式，呼籲用戶要儘速採取行動因應。

MX-ONE是對話啟動協定（Session Initiation Protocol，SIP）為基礎打造的通訊平臺，主要的功能是提供網路語音通訊，例如VoIP、語音路由，以及通話管理，其特色是具備高度延展性，可支援數十萬個使用者，而受到大型企業組織採用。

目前這項資安漏洞尚未取得CVE編號，該漏洞出現在MX-ONE的元件Provisioning Manager，起因是存取控制不當造成，一旦攻擊者成功利用，就能在未經授權的情況下進行身分驗證繞過攻擊，直接存取管理員的帳號。

而對於無法及時修補的IT人員，Mitel表示能透過限縮Provisioning Manager存取來降低風險。該公司也呼籲用戶，應避免直接將MX-ONE服務曝露在網際網路上。

另一個Mitel修補的高風險漏洞CVE-2025-52914，也值得留意，該漏洞存在於協作平臺MiCollab，為SQL注入漏洞，風險值為8.8。由於去年底資安業者watchTowr曾揭露此協作平臺的零時差漏洞CVE-2024-41713，今年初美國網路安全暨基礎設施安局（CISA）將另一個路徑穿越漏洞CVE-2024-55550列入已遭利用漏洞列表（KEV），再加上過往曾有濫用MiCollab漏洞的DDoS攻擊行動，因此相關的資安漏洞揭露，用戶也要特別留意。