漏洞名称：Mitel MiCollab 企业协作平台 npm-pwg 任意文件读取漏洞(CVE-2024-41713)

English Name：Mitel MiCollab /npm-pwg File Read Vulnerability (CVE-2024-41713)

CVSS core: 6.8

漏洞描述：

Mitel MiCollab 是加拿大 Mitel 公司推出的一款企业级协作平台。该漏洞存在于 MiCollab 的 NuPoint 统一消息 (NPM) 组件中，由于身份验证绕过和输入验证不足，未经身份验证的远程攻击者可以通过路径遍历攻击读取任意文件。成功利用可能导致未授权访问、破坏或删除用户的数据和系统配置。

FOFA自检语句：

body=“MiCollab End User Portal” && title=“Redirecting”

受影响资产数量: 11,926

受影响版本:

<9.8.2.12

解决方案：

建议立即升级 MiCollab 至 9.8 SP2 (9.8.2.12) 或更高版本，以修复该漏洞。对于无法立即升级的用户，可应用 Mitel 提供的补丁作为临时解决方案，同时加强对关键文件的访问控制。

PoC/EXP 编写检测工具：

【Goby AI 2.0】-向智能体输入包含漏洞详情文本或链接，即可智能生成EXP，实战漏洞验证效果如图所示：

了解Goby

Goby预置了最具实战化效果的漏洞引擎，覆盖Weblogic，Tomcat等最严重漏洞，当前红队版已覆盖2000+PoC

了解Goby AI 2.0

Goby AI 2.0 ：只需输入附带漏洞Payload细节的文本或公网链接，即可智能输出PoC/EXP，实现漏洞检测、实战化漏洞验证，显著提升实战化漏洞复现与研究的效率。

查看Goby更多漏洞：Goby历史漏洞合集