PT-2022-20474 · Pjsip+3 · Pjsip+3
Cossack9989
·
Publicado
2022-06-07
·
Atualizado
2026-05-05
·
CVE-2022-31031
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do PJSIP anteriores à 2.12.1, inclusive
Descrição
O PJSIP é uma biblioteca de comunicação multimídia gratuita e de código aberto, escrita na linguagem C, que implementa protocolos baseados em padrões, tais como SIP, SDP, RTP, STUN, TURN e ICE. Uma vulnerabilidade de estouro de buffer de pilha afeta usuários do PJSIP que utilizam STUN em suas aplicações, seja configurando um servidor STUN em suas configurações de conta/mídia no nível PJSUA/PJSUA2, seja utilizando diretamente a API
pjlib-util/stun simple.Recomendações
Para versões anteriores à 2.12.1, inclusive, aplique o patch disponível no commit 450baca para resolver o problema. Como solução temporária, considere desativar o uso de STUN nas aplicações até que o patch seja aplicado. Restrinja o acesso à API
pjlib-util/stun simple para minimizar o risco de exploração. Evite configurar um servidor STUN na configuração de conta/mídia no nível PJSUA/PJSUA2 até que o problema seja resolvido.Exploit
Correção
Buffer Overflow
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Linuxmint
Pjsip
Ubuntu