PT-2022-26511 · Sangoma+1 · Asterisk+1
Shawty
·
Publicado
2022-12-05
·
Atualizado
2025-02-13
·
CVE-2022-42706
CVSS v3.1
4.9
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Sangoma Asterisk versões 16.28 e anteriores, 17, 18 a 18.14, 19 a 19.6 e versões certificadas até 18.9-cert1
Descrição
Foi descoberta uma vulnerabilidade no Sangoma Asterisk que permite que um aplicativo conectado acesse arquivos fora do diretório de configuração do Asterisk por meio da Interface do Gerenciador do Asterisk, especificamente através da função GetConfig, resultando em um problema de traversal de diretório.
Recomendações
Para as versões 16.28 e anteriores, 17, 18 a 18.14, 19 a 19.6 e versões certificadas até 18.9-cert1, considere restringir o acesso à função GetConfig por meio da Interface do Gerenciador do Asterisk até que um patch esteja disponível.
Como solução alternativa temporária, considere desativar a Interface do Gerenciador do Asterisk para minimizar o risco de exploração.
Restrinja o acesso a arquivos e diretórios confidenciais para impedir o acesso não autorizado.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Asterisk