PT-2022-2682 · Pjsip+3 · Pjsip+3

Cossack9989

·

Publicado

2022-04-06

·

Atualizado

2025-11-04

·

CVE-2022-24793

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
PJSIP versões 2.12 e anteriores
Descrição
O problema está relacionado a uma vulnerabilidade de estouro de buffer na implementação de resolução DNS da biblioteca PJSIP. Essa vulnerabilidade pode ser explorada por um invasor remoto para executar código arbitrário no sistema alvo. A vulnerabilidade ocorre devido à falta de verificação do tamanho dos dados de entrada durante o processamento de pacotes DNS, o que pode levar a um estouro de buffer na pilha.
Recomendações
Para as versões 2.12 e anteriores do PJSIP, considere desativar a resolução DNS na configuração do PJSIP definindo nameserver count como zero como uma solução temporária.
Atualize para uma versão que inclua o patch disponível no ramo master do repositório GitHub pjsip/pjproject.
Como alternativa, use um resolvedor externo em vez da resolução DNS integrada do PJSIP para minimizar o risco de exploração.

Exploit

Correção

Heap Based Buffer Overflow

Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-122CWE-120

Identificadores relacionados

BDU:2022-03172
CVE-2022-24793
DLA-3036-1
DLA-3194-1
DLA-3394-1
DLA-3549-1
DLA-3887-1
DSA-5285-1
DSA-5438-1
GHSA-P6G5-V97C-W5Q4
GHSA-Q9CP-8WCQ-7PFR
USN-6422-1

Produtos afetados

Linuxmint
Pjsip
Red Os
Ubuntu