CVE-2026-23741 in PBXالمعلومات

الملخص

بحسب VulDB • 28/05/2026

Asterisk هو نظام تبادل هاتفي خاص مفتوح المصدر ومجموعة أدوات للتطبيقات الصوتية. قبل الإصدارات 20.7-cert9، و20.18.2، و21.12.1، و22.8.2، و23.2.2، كان السكربت asterisk/contrib/scripts/ast_coredumper يعمل بصلاحيات الجذر (root)، كما هو موضح في علامة NOTES في السطر 689 من ملف ast_coredumper. يقوم السكربت بتحميل محتويات الملف /etc/asterisk/ast_debug_tools.conf، والذي يقع في مجلد يمكن للمستخدم والمجموعة asterisk الكتابة فيه. ونظراً لأن ملف /etc/asterisk/ast_debug_tools.conf يتبع دلالات لغة Bash ويتم تحميله، فإن مهاجمًا لديه صلاحيات الكتابة يمكنه إضافة أو تعديل الملف بحيث، عند تشغيل ast_coredumper بصلاحيات الجذر، يتم تحميل وتنفيذ أي كود Bash عشوائي موجود في ملف /etc/asterisk/ast_debug_tools.conf. تم إصلاح هذه المشكلة في الإصدارات 20.7-cert9، و20.18.2، و21.12.1، و22.8.2، و23.2.2.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

15/01/2026

إفشاء

06/02/2026

الاعتدال

تمت الموافقة

إدخال

VDB-344707

CPE

جاهز

CWE

CWE-427 (مؤكد)

CVSS

8.8 (NVD)

EPSS

0.00041

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hospital, Lawfirm, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-23741
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-23741
CVE Details	https://www.cvedetails.com/cve/CVE-2026-23741/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!