Vulnerabilidad en Asterisk (CVE-2025-47779)

Asterisk es una centralita privada (PBX) de código abierto. En versiones anteriores a las 18.26.2, 20.14.1, 21.9.1 y 22.4.1 de Asterisk, y a las versiones 18.9-cert14 y 20.7-cert5 de Asterisk certificado, las solicitudes SIP con autenticación de tipo MESSAGE (RFC 3428) no se alineaban correctamente. Un atacante autenticado puede suplantar la identidad de cualquier usuario para enviarle spam con su token de autorización. El abuso de este problema de seguridad permite a los atacantes autenticados enviar mensajes de chat falsos, que pueden falsificarse para que parezcan provenir de entidades de confianza. Incluso los administradores que siguen las mejores prácticas y consideraciones de seguridad pueden verse afectados. Por lo tanto, el abuso puede generar spam y facilitar la ingeniería social, el phishing y ataques similares. Las versiones 18.26.2, 20.14.1, 21.9.1 y 22.4.1 de Asterisk y las versiones 18.9-cert14 y 20.7-cert5 de certified-asterisk solucionan el problema.