Home / Node / Boletín de INCIBE-CERT del 03-03-2022

Boletín de INCIBE-CERT del 03-03-2022

Múltiples vulnerabilidades en librería PJSIP de Teluu

Publication date: 
03/03/2022
Importance: 
4 - Alta
Affected resources: 

Cualquier proyecto que utilice la librería PJSIP, con versiones anteriores a la 2.12, y pase argumentos controlados por el atacante a cualquiera de las siguientes API:

  • pjsua_player_create – filename,
  • pjsua_recorder_create – filename,
  • pjsua_playlist_create – file_names,
  • pjsua_call_dump – buffer.
Description: 

El equipo de investigación de seguridad de JFrog ha reportado 5 vulnerabilidades, 3 de severidad alta y 2 medias, por las que un atacante podría provocar la ejecución arbitraria de código y una denegación de servicio.

Solution: 

Actualizar PJSIP a la versión 2.12.

Detail: 
  • Se podría producir un desbordamiento de pila en la API de la librería PJSUA al llamar a pjsua_player_create, pjsua_recorder_create, pjsua_playlist_create. Se han asignado los identificadores: CVE-2021-43299, CVE-2021-43300 y CVE-2021-43301 para estas vulnerabilidades.

Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2021-43302 y CVE-2021-43303.

Encuesta valoración

Múltiples vulnerabilidades en productos Cisco

Publication date: 
03/03/2022
Importance: 
5 - Crítica
Affected resources: 

Cisco Expressway Series y Cisco TelePresence VCS, versión 14.0 y anteriores.

Description: 

Jason Crowder, investigador de Cisco ASIG (Advanced Security Initiatives Group), durante unas pruebas de seguridad internas, descubrió 2 vulnerabilidades críticas que podrían permitir a un atacante remoto autenticado, con privilegios de lectura/escritura en la aplicación, escribir archivos o ejecutar código arbitrario en el sistema operativo subyacente de un dispositivo afectado con privilegios de root.

Solution: 

Actualizar Cisco Expressway Series y Cisco TelePresence VCS a la versión 14.0.5.

Detail: 

Las 2 vulnerabilidades, identificadas en la API de la base de datos del clúster y en la interfaz de gestión basada en la web respectivamente, originadas por una insuficiente validación de entrada de los argumentos de comandos suministrados por el usuario, podrían explotarse autenticándose en el sistema como administrador y enviando una entrada especialmente diseñada al comando afectado. Se han asignado los identificadores CVE-2022-20754 y CVE-2022-20755 para estas vulnerabilidades.

Encuesta valoración