Fecha de publicación: 03/03/2022
Importancia:
Alta
Recursos afectados:
Cualquier proyecto que utilice la librería PJSIP, con versiones anteriores a la 2.12, y pase argumentos controlados por el atacante a cualquiera de las siguientes API:
- pjsua_player_create – filename,
- pjsua_recorder_create – filename,
- pjsua_playlist_create – file_names,
- pjsua_call_dump – buffer.
Descripción:
El equipo de investigación de seguridad de JFrog ha reportado 5 vulnerabilidades, 3 de severidad alta y 2 medias, por las que un atacante podría provocar la ejecución arbitraria de código y una denegación de servicio.
Solución:
Actualizar PJSIP a la versión 2.12.
Detalle:
- Se podría producir un desbordamiento de pila en la API de la librería PJSUA al llamar a pjsua_player_create, pjsua_recorder_create, pjsua_playlist_create. Se han asignado los identificadores: CVE-2021-43299, CVE-2021-43300 y CVE-2021-43301 para estas vulnerabilidades.
Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2021-43302 y CVE-2021-43303.
Etiquetas:
Actualización, Comunicaciones, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.