Digium Asterisk 12.7.0/13.0.0 PJSIP ACL res_pjsip_acl تجاوز الصلاحيات

CVSS الدرجة المؤقتة للميتاسعر الإكسبلويت الحالي (≈)درجة اهتمام CTI
4.6$0-$5k0.00

الملخصالمعلومات

تم التعرف على ثغرة أمنية في Digium Asterisk 12.7.0/13.0.0. وقد تم تصنيفها على أنها خطيرة. الثغرة الأمنية أثرت على الدالة res_pjsip_acl من العنصر PJSIP ACL Handler. تؤدي عملية التلاعب إلى تجاوز الصلاحيات. الثغرة الأمنية هذه تم تسميتهاCVE-2014-8413. الهجوم يمكن أن يتم عن بُعد. لا يوجد أي استغلال متوفر. يُفضل ترقية المكون المصاب.

التفاصيلالمعلومات

تم التعرف على ثغرة أمنية في Digium Asterisk 12.7.0/13.0.0. وقد تم تصنيفها على أنها خطيرة. الثغرة الأمنية أثرت على الدالة res_pjsip_acl من العنصر PJSIP ACL Handler. تؤدي عملية التلاعب إلى تجاوز الصلاحيات. تعريف الـ سي دبليو أي للثغرة الأمنية هو CWE-264. تم إصدار التحذير حول الضعف 20/11/2014 عن طريق Jonathan Rose برقم AST-2014-013 كـ استشارة (موقع إلكتروني). يمكن قراءة الاستشارة من هنا downloads.asterisk.org.

الثغرة الأمنية هذه تم تسميتهاCVE-2014-8413. تم تخصيص CVE في 22/10/2014. الهجوم يمكن أن يتم عن بُعد. يوجد شرح تقني متاح. هذه الثغرة ليست شائعة مقارنة بالمتوسط. لا يوجد أي استغلال متوفر. يعلن مشروع MITRE ATT&CK عن تقنية الهجوم كـ T1068.

تمت معالجة الثغرة كاستغلال يوم-صفر خاص لمدة لا تقل عن 23 يومًا. كسعر لثغرة يوم الصفر، قُدّر السعر في السوق السوداء بحوالي $0-$5k. يوفر ماسح الثغرات Nessus إضافة بالمعرف 79439. تم تصنيفه ضمن عائلة متفرقات.

يمكن معالجة هذه المشكلة من خلال الترقية إلى الإصدار 12.7.1 , 13.0.1. يُفضل ترقية المكون المصاب.

في حال وجود عناصر في source_databases_list، فإن هذه الثغرة موثقة أيضًا في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 71221), X-Force (98864), SecurityTracker (ID 1031246), Vulnerability Center (SBV-47581) , Tenable (79439).

منتجالمعلومات

النوع

المجهز

الأسم

النسخة

الرخصة

موقع إلكتروني

CPE 2.3المعلومات

CPE 2.2المعلومات

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 5.3
VulDB الدرجة المؤقتة للميتا: 4.6

VulDB الدرجة الأساسية: 5.3
VulDB الدرجة المؤقتة: 4.6
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv2المعلومات

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
متجهالتعقيدتوثيقالسريةالأمانةالتوفر
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

استغلالالمعلومات

الفئة: تجاوز الصلاحيات
CWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍

ملموس: لا
محلي: لا
عن بُعد: نعم

التوفر: 🔍
الحالة: غير مثبت

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Dayافتحافتحافتحافتح
اليومافتحافتحافتحافتح

Nessus ID: 79439
Nessus الأسم: Asterisk PJSIP Multiple Vulnerabilities (AST-2014-013 / AST-2014-015 / AST-2014-016)
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: ترقية
الحالة: 🔍

زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍

ترقية: Asterisk 12.7.1/13.0.1

الجدول الزمنيالمعلومات

22/10/2014 🔍
28/10/2014 +6 أيام 🔍
20/11/2014 +23 أيام 🔍
20/11/2014 +0 أيام 🔍
20/11/2014 +0 أيام 🔍
20/11/2014 +0 أيام 🔍
21/11/2014 +1 أيام 🔍
24/11/2014 +3 أيام 🔍
24/11/2014 +0 أيام 🔍
25/11/2014 +1 أيام 🔍
14/12/2014 +19 أيام 🔍
27/02/2022 +2632 أيام 🔍

المصادرالمعلومات

المجهز: digium.com

استشارة: AST-2014-013
باحث: Jonathan Rose
الحالة: مؤكد
تأكيد: 🔍

CVE: CVE-2014-8413 (🔍)
GCVE (CVE): GCVE-0-2014-8413
GCVE (VulDB): GCVE-100-68258
X-Force: 98864 - Asterisk res_pjsip_acl security bypass, Medium Risk
SecurityFocus: 71221 - Asterisk Open Source 'res_pjsip_acl' Module Security Bypass Vulnerability
SecurityTracker: 1031246 - Asterisk PJSIP ACL Bug Lets Remote Users Bypass Access Controls
Vulnerability Center: 47581 - Asterisk Open Source 12.0 - 12.7.0 and 13.0 \x27res_pjsip_acl\x27 Remote Restrictions Bypass Vulnerability, Medium

اقرأ أيضاً: 🔍

إدخالالمعلومات

تم الإنشاء: 24/11/2014 09:29 AM
تم التحديث: 27/02/2022 07:25 AM
التغييرات: 24/11/2014 09:29 AM (82), 24/12/2017 09:37 AM (1), 27/02/2022 07:25 AM (2)
كامل: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مناقشة

لا توجد تعليقات بعد اللغات: ar + fa + en.

يرجى تسجيل الدخول حتى تتمكن من التعليق

Might our Artificial Intelligence support you?

Check our Alexa App!