← volver
CVE-2022-41223

CVE-2022-41223

CVSS 6.8 MEDIUMEPSS 10.6%● KEVCWE-94
Vexday Risk Score
48Atención
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
CVSS 6.8EPSS 10.6%KEV simPoC Nuclei Metasploit Patch
Ciclo de vida
22 nov 2022Publicada en NVD
21 feb 2023Explotación activa (CISA KEV)
Recomendación: Planificar corrección próxima — ya existe PoC pública.
En resumen

Un usuario autenticado puede inyectar código malicioso en la base de datos de MiVoice Connect enviando datos especialmente elaborados. El problema ocurre porque el componente de base de datos no valida correctamente el tipo de dato almacenado.

Detalle técnico

Vulnerabilidad de inyección de código (CWE-94) en el componente Director database de MiVoice Connect (versiones ≤19.3/22.22.6100.0) permite que atacantes autenticados inyecten código arbitrario mediante tipos de datos de base de datos con restricciones insuficientes. El ataque requiere credenciales de autenticación válidas y explota validación inadecuada en operaciones de base de datos.

Resumen generado y traducido por IA a partir de la descripción oficial.
The Director database component of MiVoice Connect through 19.3 (22.22.6100.0) could allow an authenticated attacker to conduct a code-injection attack via crafted data due to insufficient restrictions on the database data type.
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-41223https://www.mitel.com/support/security-advisorieshttps://www.mitel.com/support/security-advisories/mitel-product-security-advisory-22-0008