一、 漏洞 CVE-2025-47188 基础信息
漏洞信息
# N/A
## 概述
Mitel 多款 SIP 电话型号存在命令注入漏洞,由于参数过滤不充分,未认证攻击者可利用该漏洞执行恶意指令。
## 影响版本
- Mitel 6800 系列
- Mitel 6900 系列
- Mitel 6900w 系列
- 包括 6970 会议单元
- 版本范围至 6.4 SP4
## 细节
漏洞因设备对输入参数未进行充分清理和验证,导致攻击者可注入恶意命令。
## 影响
成功利用该漏洞可让攻击者:
- 在设备上下文中执行任意命令
- 窃取或篡改敏感配置数据
- 影响设备的可用性和正常运行
神龙判断
是否为 Web 类漏洞: 否
判断理由:
否。这个漏洞影响的是Mitel 6800 Series, 6900 Series, 和 6900w Series SIP Phones,包括6970 Conference Unit通过6.4 SP4,这些设备是网络电话(IP Phone)设备,而不是Web服务的服务端。该漏洞允许未认证的攻击者通过命令注入攻击利用不充分的参数 sanitization(净化)执行任意命令,可能导致敏感配置数据的泄露或修改,以及影响设备的可用性和操作。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in the Mitel 6800 Series, 6900 Series, and 6900w Series SIP Phones through 6.4 SP4 (R6.4.0.4006), and the 6970 Conference Unit through 6.4 SP4 (R6.4.0.4006) or version V1 R0.1.0, could allow an unauthenticated attacker to conduct a command injection attack due to insufficient parameter sanitization. A successful exploit could allow an attacker to execute arbitrary commands within the context of the phone, leading to disclosure or modification of sensitive configuration data or affecting device availability and operation.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Mitel多款产品 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Mitel 6800 Series等都是加拿大敏迪(Mitel)公司的一系列电话。 Mitel多款产品存在安全漏洞,该漏洞源于参数清理不足,可能导致命令注入攻击。以下产品及版本受到影响:Mitel 6800 Series、6900 Series和6900w Series SIP Phones 6.4 SP4及之前版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-47188 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | A vulnerability in the Mitel 6800 Series, 6900 Series, and 6900w Series SIP Phones through 6.4 SP4 (R6.4.0.4006), and the 6970 Conference Unit through 6.4 SP4 (R6.4.0.4006) or version V1 R0.1.0, could allow an unauthenticated attacker to conduct a command injection attack due to insufficient parameter sanitization. This template should be run on port 49249/tcp. | https://github.com/projectdiscovery/nuclei-templates/blob/main/network/cves/2025/CVE-2025-47188.yaml | POC详情 |
三、漏洞 CVE-2025-47188 的情报信息
标题: Security Advisories -- 🔗来源链接
标签:
标题: Mitel Product Security Advisory MISA-2025-0004 | Mitel -- 🔗来源链接
标签:
神龙速读:### 关键漏洞信息 #### 漏洞概述 - **漏洞编号**: CVE-2025-4788, CVE-2025-4789 - **受影响产品**: - Mitel 6800 Series SIP Phones - Mitel 6900 Series SIP Phones - Mitel 6900w Series SIP Phones - Mitel 6970 Conference Unit - **漏洞类型**: - 命令注入漏洞 (CVE-2025-4788) - 未授权文件上传漏洞 (CVE-2025-4789) #### 影响版本 - **Mitel 6800 Series SIP Phones**: R6.4.0 SP4 (R6.4.0.4003) 及更早版本 - **Mitel 6900 Series SIP Phones**: R6.4.0 SP4 (R6.4.0.4003) 及更早版本 - **Mitel 6900w Series SIP Phones**: R6.4.0 SP4 (R6.4.0.4003) 及更早版本 - **Mitel 6970 Conference Unit**: R6.4.0 SP4 (R6.4.0.4003) 及更早版本,以及 V1.10.1.0 #### 解决方案 - **升级到以下版本**: - Mitel 6800 Series SIP Phones: R6.4.0 SP5 (R6.4.0.5013) 或更高版本 - Mitel 6900 Series SIP Phones: R6.4.0 SP5 (R6.4.0.5013) 或更高版本 - Mitel 6900w Series SIP Phones: R6.4.0 SP5 (R6.4.0.5013) 或更高版本 - Mitel 6970 Conference Unit: R6.4.0 SP5 (R6.4.0.5013) 或更高版本,或升级到 V1.10.2.0 或更高版本 #### 漏洞严重性 - **命令注入漏洞 (CVE-2025-4788)**: CVSS v3.1 基本分数为 9.8(严重) - **未授权文件上传漏洞 (CVE-2025-4789)**: CVSS v3.1 基本分数为 9.8(严重) #### 缓解措施 - 跟随 KMS 文档中的说明进行缓解。 - 对于 Open SIP 客户,请联系 Open SIP 支持。 #### 版本变更历史 - **1.0**: 2025-05-07 初始发布 - **2.0**: 2025-08-26 更新受影响产品和解决方案信息
- https://nvd.nist.gov/vuln/detail/CVE-2025-47188
四、漏洞 CVE-2025-47188 的评论
暂无评论