The-Storm

**Nome do software vulnerável e versões afetadas: PJSIP versões 2.11.1 e anteriores Descrição: A vulnerabilidade afeta o PJSIP, uma biblioteca de comunicação multimídia gratuita e de código aberto. Nas versões afetadas, se uma mensagem RTCP XR recebida contiver um bloco, o campo de dados não é verificado em relação ao tamanho do pacote recebido, o que pode resultar em um acesso de leitura fora dos limites. Isso afeta todos os usuários que utilizam o PJMEDIA e o RTCP XR. Um agente mal-intencionado pode enviar uma mensagem RTCP XR com um tamanho de pacote inválido. Recomendações: Para as versões 2.11.1 e anteriores do PJSIP, considere atualizar para uma versão que inclua uma correção para este problema, já que não há solução alternativa específica disponível para essas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do PJSIP anteriores à versão corrigida **Descrição** O problema está relacionado a um estouro de buffer na biblioteca PJSIP ao lidar com o comprimento das mensagens RTCP BYE. Isso pode ser explorado por um invasor remoto para executar código arbitrário. O problema ocorre quando a mensagem RTCP BYE recebida contém um comprimento de motivo que não é verificado em relação ao tamanho real do pacote recebido, resultando potencialmente em um acesso de leitura fora dos limites. Isso afeta todos os usuários do PJMEDIA e do RTCP. Um agente mal-intencionado pode enviar uma mensagem RTCP BYE com um comprimento de motivo inválido. **Recomendações** Para versões do PJSIP anteriores à versão corrigida, atualize para a versão mais recente o mais rápido possível para resolver o problema. Como solução temporária, considere restringir o tratamento de mensagens RTCP BYE com comprimentos de motivo inválidos até que um patch esteja disponível.