Vulnerabilidad en SRTP en PJSIP (CVE-2023-38703)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-416
Utilización después de liberación
Fecha de publicación:
06/10/2023
Última modificación:
10/04/2025
Descripción
PJSIP es una librería de comunicación multimedia gratuita y de código abierto escrita en C con API de alto nivel en los lenguajes C, C++, Java, C# y Python. SRTP es un transporte de medios de nivel superior que se apila sobre un transporte de medios de nivel inferior, como UDP e ICE. Actualmente, un transporte de nivel superior no está sincronizado con su transporte de nivel inferior, lo que puede introducir un problema de use-after-free. Esta vulnerabilidad afecta a las aplicaciones que tienen capacidad SRTP (`PJMEDIA_HAS_SRTP` está configurado) y utilizan transporte de medios subyacente distinto de UDP. El impacto de esta vulnerabilidad puede variar desde la terminación inesperada de la aplicación hasta el secuestro de flujo de control/corrupción de memoria. El parche está disponible como commit en la rama master.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:teluu:pjsip:*:*:*:*:*:*:*:* | 2.13.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/pjsip/pjproject/commit/6dc9b8c181aff39845f02b4626e0812820d4ef0d
- https://github.com/pjsip/pjproject/security/advisories/GHSA-f76w-fh7c-pc66
- https://lists.debian.org/debian-lts-announce/2023/12/msg00019.html
- https://github.com/pjsip/pjproject/commit/6dc9b8c181aff39845f02b4626e0812820d4ef0d
- https://github.com/pjsip/pjproject/security/advisories/GHSA-f76w-fh7c-pc66
- https://lists.debian.org/debian-lts-announce/2023/12/msg00019.html