PT-2022-17984 · Sangoma+1 · Asterisk+1
Leandro Dardini
·
Publicado
2020-07-06
·
Atualizado
2023-02-02
·
CVE-2022-26651
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Asterisk anteriores à 16.25.2
Versões do Asterisk anteriores à 18.11.2
Versões do Asterisk anteriores à 19.3.2
Versões certificadas do Asterisk anteriores à 16.8-cert14
Descrição
Foi descoberta uma falha no módulo func odbc, que fornece uma funcionalidade de escape possivelmente inadequada para caracteres de barra invertida em consultas SQL. Isso poderia resultar em dados fornecidos pelo usuário criando uma consulta SQL corrompida ou, possivelmente, uma injeção de SQL.
Recomendações
Para versões do Asterisk anteriores à 16.25.2, atualize para a versão 16.25.2 ou posterior.
Para versões do Asterisk anteriores à 18.11.2, atualize para a versão 18.11.2 ou posterior.
Para versões do Asterisk anteriores à 19.3.2, atualize para a versão 19.3.2 ou posterior.
Para versões do Asterisk Certificado anteriores à 16.8-cert14, atualize para a versão 16.8-cert14 ou posterior.
Como solução alternativa temporária, considere desativar o módulo func odbc até que um patch esteja disponível.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Asterisk