CVSS: 6.5EPSS: 4%CPEs: 8EXPL: 0CVE-2019-12827
https://notcve.org/view.php?id=CVE-2019-12827
Buffer overflow in res_pjsip_messaging in Digium Asterisk versions 13.21-cert3, 13.27.0, 15.7.2, 16.4.0 and earlier allows remote authenticated users to crash Asterisk by sending a specially crafted SIP MESSAGE message. Desbordamiento de búfer en res_pjsip_messaging en Digium Asterisk versiones 13.21-cert3, 13.27.0, 15.7.2, 16.4.0 versiones anteriores permite a los atacantes remotos autenticados cerrar inesperadamente Asterisk enviando un mensaje SIP MESSAGE especialmente diseñado. • http://downloads.digium.com/pub/security/AST-2019-002.html https://issues.asterisk.org/jira/browse/ASTERISK-28447 • CWE-787: Out-of-bounds Write •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2019-7251
https://notcve.org/view.php?id=CVE-2019-7251
An Integer Signedness issue (for a return code) in the res_pjsip_sdp_rtp module in Digium Asterisk versions 15.7.1 and earlier and 16.1.1 and earlier allows remote authenticated users to crash Asterisk via a specially crafted SDP protocol violation. Un error en la propiedad signedness de un número entero (para código devuelto) en el módulo res_pjsip_sdp_rtp en Digium Asterisk, en versiones 15.7.1 y anteriores y en las 16.1.1 y anteriores, permite a los atacantes remotos no autenticados cerrar inesperadamente Asterisk mediante una violación de protocolo SDP especialmente manipulada. • https://downloads.asterisk.org/pub/security/AST-2019-001.html https://issues.asterisk.org/jira/browse/ASTERISK-28260 • CWE-190: Integer Overflow or Wraparound •
CVSS: 7.5EPSS: 0%CPEs: 30EXPL: 1CVE-2018-19278
https://notcve.org/view.php?id=CVE-2018-19278
Buffer overflow in DNS SRV and NAPTR lookups in Digium Asterisk 15.x before 15.6.2 and 16.x before 16.0.1 allows remote attackers to crash Asterisk via a specially crafted DNS SRV or NAPTR response, because a buffer size is supposed to match an expanded length but actually matches a compressed length. Desbordamiento de búfer en las búsquedas DNS SRV y NAPTR en Digium Asterisk en versiones 15.x anteriores a la 15.6.2 y versiones 16.x anteriores a la 16.0.1 permite que atacantes remotos provoquen el cierre inesperado de Asterisk mediante una respuesta DNS SRV o NAPTR especialmente manipulada. Esto se debe a que se supone que un tamaño de búfer coincide con una longitud expandida, pero en realidad coincide con una longitud comprimida. • https://downloads.asterisk.org/pub/security/AST-2018-010.html https://issues.asterisk.org/jira/browse/ASTERISK-28127 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 7.5EPSS: 59%CPEs: 33EXPL: 0CVE-2018-17281
https://notcve.org/view.php?id=CVE-2018-17281
There is a stack consumption vulnerability in the res_http_websocket.so module of Asterisk through 13.23.0, 14.7.x through 14.7.7, and 15.x through 15.6.0 and Certified Asterisk through 13.21-cert2. It allows an attacker to crash Asterisk via a specially crafted HTTP request to upgrade the connection to a websocket. Hay una vulnerabilidad de consumo de pila en el módulo res_http_websocket.so de Asterisk hasta la versión 13.23.0; versiones 14.7.x anteriores a la 14.7.7 y las versiones 15.x anteriores a la 15.6.0, así como Certified Asterisk hasta la versión 13.21-cert2. Permite que un atacante provoque el cierre inesperado de Asterisk mediante una petición HTTP para actualizar la conexión a un websocket. • http://downloads.asterisk.org/pub/security/AST-2018-009.html http://packetstormsecurity.com/files/149453/Asterisk-Project-Security-Advisory-AST-2018-009.html http://seclists.org/fulldisclosure/2018/Sep/31 http://www.securityfocus.com/bid/105389 http://www.securitytracker.com/id/1041694 https://issues.asterisk.org/jira/browse/ASTERISK-28013 https://lists.debian.org/debian-lts-announce/2018/09/msg00034.html https://seclists.org/bugtraq/2018/Sep/53 https://security.gentoo.org/glsa/201811&# • CWE-400: Uncontrolled Resource Consumption •
CVSS: 6.0EPSS: 0%CPEs: 144EXPL: 0CVE-2012-4737
https://notcve.org/view.php?id=CVE-2012-4737
channels/chan_iax2.c in Asterisk Open Source 1.8.x before 1.8.15.1 and 10.x before 10.7.1, Certified Asterisk 1.8.11 before 1.8.11-cert7, Asterisk Digiumphones 10.x.x-digiumphones before 10.7.1-digiumphones, and Asterisk Business Edition C.3.x before C.3.7.6 does not enforce ACL rules during certain uses of peer credentials, which allows remote authenticated users to bypass intended outbound-call restrictions by leveraging the availability of these credentials. channels/chan_iax2.c en Asterisk Open Source v1.8.x antes de v1.8.15.1 y v10.x antes de v10.7.1, Certified Asterisk v1.8.11-1.8.11 antes de cert7, Digiumphones Asterisk v10.xx-digiumphones antes de v10.7.1-digiumphones y Asterisk Business Edition C.3.x antes de C.3.7.6 no hace cumplir las reglas de ACL durante ciertos usos del par de credenciales, lo que permite a usuarios remotos autenticados eludir las restricciones de llamadas de salida aprovechándose de la disponibilidad de estas credenciales. • http://downloads.asterisk.org/pub/security/AST-2012-013.html http://secunia.com/advisories/50687 http://secunia.com/advisories/50756 http://www.debian.org/security/2012/dsa-2550 http://www.securityfocus.com/bid/55335 http://www.securitytracker.com/id?1027461 • CWE-264: Permissions, Privileges, and Access Controls •