0x01 产品简介

Mitel MiCollab是加拿大Mitel（敏迪）公司推出的一款企业级协作平台，旨在为企业提供统一、高效、安全的通信与协作解决方案。通过该平台，员工可以在任何时间、任何地点，使用任何设备，实现即时通信、语音通话、视频会议、文件共享等功能，从而提升工作效率和团队协作能力。适用于各种规模和类型的企业。通过该平台，企业可以提升工作效率、增强团队协作能力、保障信息安全，并推动业务的持续发展。

0x02 漏洞概述

由于Mitel MiCollab软件的 NuPoint 统一消息 (NPM) 组件中存在身份验证绕过漏洞，并且输入验证不足，未经身份验证的远程攻击者可利用该漏洞执行路径遍历攻击，成功利用可能导致未授权访问、破坏或删除用户的数据和系统配置。

0x03 影响范围

version < MiCollab 9.8 SP2 (9.8.2.12)

0x04 复现环境

FOFA：

body="MiCollab End User Portal"

0x05 漏洞复现

PoC<