专门提供企业通讯解决方案的加拿大业者Mitel Networks,上周修补了位于该公司多款SIP电话的两个安全漏洞,包括CVE-2025-47187与CVE-2025-47188。其中的CVE-2025-47188属于命令注入漏洞,成功的攻击将允许未经身分验证的使用者执行任意命令,其CVSS风险评分高达9.8。
SIP(Session Initiation Protocol,会话起始协定)为一用来建立网路电话与视讯会议的标准通讯规则,Mitel则开发许多SIP电话供企业使用,涉及上述两个漏洞的装置涵盖6800系列、6900系列与6900w系列的电话机,以及6970会议装置。
根据Mitel的说明,CVE-2025-47188漏洞源自于装置在处理像是网路请求或协定资料等参数时,没有充分过滤恶意指令,而让骇客得以借由特制的输入封包来注入系统命令,而且完全不需要经过身分验证。
成功攻陷CVE-2025-47188将允许骇客执行任何命令,诸如删除档案或植入后门;也可窃取包括通话纪录、装置配置或用户凭证等敏感资料;或是造成服务阻断,瘫痪装置功能,因而被列为重大(Critical)风险。
至于CVE-2025-47187则是因身份验证机制有缺陷,而让未经授权的使用者上传文件。该漏洞允许骇客不必登录也不必验证权限,就能直接上传文件。例如当用来上传大量的WAV音频文件时,即可能耗尽装置的储存空间,但它并不会影响电话的可用性或操作,被列为中度(Medium)风险等级。
不论如何,要成功利用这两个安全漏洞的前提是骇客必须能够存取目标电话的网路,然而,依照Mitel的工程部署指南,这些SIP电话都应该被部署在受到保护的内部网路中。
Mitel建议企业应尽速更新至最新版本的韧体,亦提供缓解措施予无法即时更新的用户。