Vulnerabilidad en Control de acceso insuficiente en Asterisk Open Source (CVE-2007-6430)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
20/12/2007
Última modificación:
09/04/2025
Descripción
Asterisk Open Source 1.2.x anterior a 1.2.26 y 1.4.x anterior a 1.4.16, y Business Edition B.x.x anterior a B.2.3.6 y C.x.x anterior a C.1.0-beta8, cuando usa registros basados en base de datos (en tiempo real o "realtime") y autenticación basada en anfitrión (host-based), no comprueba la dirección IP cuando el nombre de usuario es correcto y no hay contraseña, lo cual permite a atacantes remotos evitar la autenticación usando un nombre de usuario válido.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:asterisk:asterisk_business_edition:b.1.3.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:asterisk_business_edition:b.1.3.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:asterisk_business_edition:b.2.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:asterisk_business_edition:b.2.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:asterisk_business_edition:b.2.3.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:asterisk_business_edition:b.2.3.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:asterisk_business_edition:b.2.3.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:asterisk_business_edition:b.2.3.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:asterisk_business_edition:c.1.0beta7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:open_source:1.2.0beta1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:open_source:1.2.0beta2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:open_source:1.2.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:open_source:1.2.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:open_source:1.2.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:open_source:1.2.8:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://downloads.digium.com/pub/security/AST-2007-027.html
- http://lists.opensuse.org/opensuse-security-announce/2008-03/msg00001.html
- http://secunia.com/advisories/28149
- http://secunia.com/advisories/29242
- http://secunia.com/advisories/29456
- http://secunia.com/advisories/29782
- http://security.gentoo.org/glsa/glsa-200804-13.xml
- http://securityreason.com/securityalert/3467
- http://www.debian.org/security/2008/dsa-1525
- http://www.osvdb.org/39519
- http://www.securityfocus.com/archive/1/485287/100/0/threaded
- http://www.securityfocus.com/bid/26928
- http://www.securitytracker.com/id?1019110=
- http://www.vupen.com/english/advisories/2007/4260
- https://exchange.xforce.ibmcloud.com/vulnerabilities/39124
- http://downloads.digium.com/pub/security/AST-2007-027.html
- http://lists.opensuse.org/opensuse-security-announce/2008-03/msg00001.html
- http://secunia.com/advisories/28149
- http://secunia.com/advisories/29242
- http://secunia.com/advisories/29456
- http://secunia.com/advisories/29782
- http://security.gentoo.org/glsa/glsa-200804-13.xml
- http://securityreason.com/securityalert/3467
- http://www.debian.org/security/2008/dsa-1525
- http://www.osvdb.org/39519
- http://www.securityfocus.com/archive/1/485287/100/0/threaded
- http://www.securityfocus.com/bid/26928
- http://www.securitytracker.com/id?1019110=
- http://www.vupen.com/english/advisories/2007/4260
- https://exchange.xforce.ibmcloud.com/vulnerabilities/39124