Vulnerabilidad en Asterisk (CVE-2018-7286)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/02/2018
Última modificación:
03/10/2019
Descripción
Se ha descubierto un problema en Asterisk hasta la versión 13.19.1, versiones 14.x hasta la 14.7.5 y versiones 15.x hasta la 15.2.1; así como Certified Asterisk hasta la versión 13.18-cert2. res_pjsip permite que usuarios remotos autenticados provoquen el cierre inesperado de Asterisk (fallo de segmentación) mediante el envío de mensajes SIP INVITE en una conexión TCP o TLS para después cerrar la conexión repentinamente.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:digium:asterisk:*:*:*:*:*:*:*:* | 14.0.0 (incluyendo) | 14.7.5 (incluyendo) |
| cpe:2.3:a:digium:asterisk:*:*:*:*:*:*:*:* | 15.0.0 (incluyendo) | 15.2.1 (incluyendo) |
| cpe:2.3:a:digium:asterisk:13.19.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:digium:certified_asterisk:*:*:*:*:*:*:*:* | 13.18 (incluyendo) | |
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página