PT-2022-2680 · Pjsip+2 · Pjsip+2
Cossack9989
·
Publicado
2022-04-06
·
Atualizado
2023-02-02
·
CVE-2022-24786
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
PJSIP versões 2.12 e anteriores
Descrição
A vulnerabilidade está relacionada à implementação da função
pjmedia rtcp fb parse rpsi() na biblioteca de comunicação multimídia PJSIP. Ela está associada a um estouro de buffer na memória durante o processamento de um pacote RPSI (Reference Picture Selection Indication) recebido. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário ou cause uma negação de serviço.Recomendações
Para as versões 2.12 e anteriores do PJSIP, um patch está disponível no ramo
master do repositório GitHub pjsip/pjproject.Como solução alternativa temporária, considere desativar o uso da função
pjmedia rtcp fb parse rpsi() até que o patch seja aplicado.Atualmente, não há soluções alternativas conhecidas além da aplicação do patch.
Exploit
Correção
Out of bounds Read
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Pjsip
Red Os