PT-2022-6027 · Pjsip+6 · Pjsip+6

Nanangizz

·

Publicado

2022-12-20

·

Atualizado

2024-11-25

·

CVE-2022-23537

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do PJSIP anteriores à 2.13.1
Descrição
O problema está relacionado a uma leitura excessiva do buffer que pode ocorrer ao analisar uma mensagem STUN especialmente criada com um atributo desconhecido. Isso pode afetar aplicativos que utilizam STUN, incluindo PJNATH e PJSUA-LIB. A exploração dessa vulnerabilidade pode permitir que um invasor remoto envie uma mensagem STUN especialmente criada, causando um estouro de buffer de heap e potencialmente permitindo a execução de código arbitrário no sistema alvo.
Recomendações
Para versões anteriores à 2.13.1, atualize para a versão 2.13.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o tratamento de mensagens STUN com atributos desconhecidos até que um patch seja aplicado.

Exploit

Correção

Out of bounds Read

Heap Based Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125CWE-122

Identificadores relacionados

ALT-PU-2024-15954
ALT-PU-2024-16030
BDU:2022-07479
CVE-2022-23537
DLA-3335-1
DLA-3549-1
DLA-3887-1
DSA-5358-1
GHSA-9PFH-R8X4-W26W
GHSA-CXWQ-5G9X-X7FR
USN-6422-1

Produtos afetados

Alt Linux
Linuxmint
Pjnath
Pjsip
Pjsua-Lib
Red Os
Ubuntu