Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Asterisk PBX y Trixbox PBX (CVE-2008-3903)

Gravedad CVSS v2.0:
BAJA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
04/09/2008
Última modificación:
09/04/2025

Descripción

Asterisk PBX 1.2 a la v.1.6 y Trixbox PBX 2.6.1, cuando se ejecuta con autenticación Digest y authalwaysreject activadas, genera diferentes respuestas dependiendo de si un nombre de usuario SIP es válido o no, lo que permite a atacantes remotos el listar nombres de usuario válidos.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:asterisk:p_b_x:1.2:*:*:*:*:*:*:*
cpe:2.3:a:asterisk:p_b_x:1.2.22:*:*:*:*:*:*:*
cpe:2.3:a:asterisk:p_b_x:1.4.21.1:*:*:*:*:*:*:*
cpe:2.3:a:asterisk:p_b_x:1.6:*:*:*:*:*:*:*
cpe:2.3:a:trixbox:pbx:2.6.1:*:*:*:*:*:*:*