CVE-2026-23740

Gravedad:

Pendiente de análisis

Tipo:

CWE-427 Elemento no controlado en la ruta de búsqueda

Fecha de publicación:

06/02/2026

Última modificación:

06/02/2026

Descripción

*** Pendiente de traducción *** Asterisk is an open source private branch exchange and telephony toolkit. Prior to versions 20.7-cert9, 20.18.2, 21.12.1, 22.8.2, and 23.2.2, when ast_coredumper writes its gdb init and output files to a directory that is world-writable (for example /tmp), an attacker with write permission(which is all users on a linux system) to that directory can cause root to execute arbitrary commands or overwrite arbitrary files by controlling the gdb init file and output paths. This issue has been patched in versions 20.7-cert9, 20.18.2, 21.12.1, 22.8.2, and 23.2.2.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 0.00 Pendiente de análisis
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

0.00

Gravedad 3.x

Pendiente de análisis

Referencias a soluciones, herramientas e información

https://github.com/asterisk/asterisk/security/advisories/GHSA-xpc6-x892-v83c