CVSS: 5.0EPSS: 3%CPEs: 80EXPL: 0CVE-2014-9374
https://notcve.org/view.php?id=CVE-2014-9374
Double free vulnerability in the WebSocket Server (res_http_websocket module) in Asterisk Open Source 11.x before 11.14.2, 12.x before 12.7.2, and 13.x before 13.0.2 and Certified Asterisk 11.6 before 11.6-cert9 allows remote attackers to cause a denial of service (crash) by sending a zero length frame after a non-zero length frame. Vulnerabilidad de doble liberación en WebSocket Server (el módulo res_http_websocket) en Asterisk Open Source 11.x anterior a 11.14.2, 12.x anterior a 12.7.2, y 13.x anterior a 13.0.2 y Certified Asterisk 11.6 anterior a 11.6-cert9 permite a atacantes remotos causar una denegación de servicio (caída) mediante el envio de un Frame de longitud cero después de un Frame de longitud no cero. • http://advisories.mageia.org/MGASA-2015-0010.html http://downloads.asterisk.org/pub/security/AST-2014-019.html http://packetstormsecurity.com/files/129473/Asterisk-Project-Security-Advisory-AST-2014-019.html http://seclists.org/fulldisclosure/2014/Dec/48 http://secunia.com/advisories/60251 http://www.mandriva.com/security/advisories?name=MDVSA-2015:018 http://www.securityfocus.com/archive/1/534197/100/0/threaded http://www.securityfocus.com/bid/71607 http://www.securitytracker.com/id/ •
CVSS: 4.0EPSS: 1%CPEs: 16EXPL: 0CVE-2014-6609
https://notcve.org/view.php?id=CVE-2014-6609
The res_pjsip_pubsub module in Asterisk Open Source 12.x before 12.5.1 allows remote authenticated users to cause a denial of service (crash) via crafted headers in a SIP SUBSCRIBE request for an event package. El módulo res_pjsip_pubsub en Asterisk Open Source 12.x anterior a 12.5.1 permite a usuarios remotos autenticados causar una denegación de servicio (caída) a través de cabeceras manipuladas en una solicitud SIP SUBSCRIBE para un paquete de eventos. • http://downloads.asterisk.org/pub/security/AST-2014-009.html • CWE-20: Improper Input Validation •
CVSS: 5.0EPSS: 0%CPEs: 2EXPL: 0CVE-2014-8416
https://notcve.org/view.php?id=CVE-2014-8416
Use-after-free vulnerability in the PJSIP channel driver in Asterisk Open Source 12.x before 12.7.1 and 13.x before 13.0.1, when using the res_pjsip_refer module, allows remote attackers to cause a denial of service (crash) via an in-dialog INVITE with Replaces message, which triggers the channel to be hung up. Vulnerabilidad de uso después de liberación en el controlador de canales PJSIP en Asterisk Open Source 12.x anterior a 12.7.1 y 13.x anterior a 13.0.1, cuando utiliza el módulo res_pjsip_refer, permite a atacantes remotosw causar una denegación de servicio (caída) a través de un in-dialog INVITE con mensaje Replaces, lo que provoca el cuelgue del canal. • http://downloads.asterisk.org/pub/security/AST-2014-016.html • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2014-8413
https://notcve.org/view.php?id=CVE-2014-8413
The res_pjsip_acl module in Asterisk Open Source 12.x before 12.7.1 and 13.x before 13.0.1 does not properly create and load ACLs defined in pjsip.conf at startup, which allows remote attackers to bypass intended PJSIP ACL rules. El módulo res_pjsip_acl en Asterisk Open Source 12.x en versiones anteriores a 12.7.1 y 13.x en versiones anteriores a 13.0.1 no crea y carga adecuadamente ACLs definidos en pjsip.conf en el arranque, lo que permite a atacantes remotos eludir las reglas previstas para PJSIP ACL. • http://downloads.asterisk.org/pub/security/AST-2014-013.html • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.0EPSS: 0%CPEs: 2EXPL: 0CVE-2014-8415
https://notcve.org/view.php?id=CVE-2014-8415
Race condition in the chan_pjsip channel driver in Asterisk Open Source 12.x before 12.7.1 and 13.x before 13.0.1 allows remote attackers to cause a denial of service (assertion failure and crash) via a cancel request for a SIP session with a queued action to (1) answer a session or (2) send ringing. Condición de carrera en el controlador de canales chan_pjsip en Asterisk Open Source 12.x anterior a 12.7.1 y 13.x anterior a 13.0.1 permite a atacantes remotos causar una denegación de servicio (fallo de aserción y caída) a través de una solicitud cancel para una sesión SIP con una acción en cola para (1) responder a una sesión o (2) enviar tonos de llamada. • http://downloads.asterisk.org/pub/security/AST-2014-015.html • CWE-20: Improper Input Validation •