Vulnerabilidad en productos Asterisk (CVE-2018-12227)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
12/06/2018
Última modificación:
29/03/2019
Descripción
Se ha descubierto un problema en Asterisk Open Source en versiones 13.x anteriores a la 13.21.1; versiones 14.x anteriores a la 14.7.7 y las versiones 15.x anteriores a la 15.4.1, así como Certified Asterisk en versiones 13.18-cert anteriores a la 13.18-cert4 y 13.21-cert anteriores a la 13.21-cert2. Cuando las reglas de lista de control de acceso (ACL) específicas del endpoint bloquean una petición SIP, responden con un mensaje de error 403 prohibido. Sin embargo, si no se identifica un endpoint, se envía una respuesta 401 no autorizada. Esta vulnerabilidad sólo revela qué peticiones llegan a un endpoint definido. Las reglas de lista de control de acceso (ACL) no pueden omitirse para obtener acceso a los endpoints revelados.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:digium:asterisk:*:*:*:*:*:*:*:* | 13.0.0 (incluyendo) | 13.21.1 (excluyendo) |
| cpe:2.3:a:digium:asterisk:*:*:*:*:*:*:*:* | 14.0.0 (excluyendo) | 14.7.7 (excluyendo) |
| cpe:2.3:a:digium:asterisk:*:*:*:*:*:*:*:* | 15.0.0 (incluyendo) | 15.4.1 (excluyendo) |
| cpe:2.3:a:digium:certified_asterisk:13.18:cert1:*:*:*:*:*:* | ||
| cpe:2.3:a:digium:certified_asterisk:13.18:cert2:*:*:*:*:*:* | ||
| cpe:2.3:a:digium:certified_asterisk:13.18:cert3:*:*:*:*:*:* | ||
| cpe:2.3:a:digium:certified_asterisk:13.21:cert1:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página