CVE-2026-23741 in PBXinformação

Sumário

de VulDB • 10/05/2026

O Asterisk é uma central telefônica privada (PBX) e um kit de ferramentas de telefonia de código aberto. Antes das versões 20.7-cert9, 20.18.2, 21.12.1, 22.8.2 e 23.2.2, o script asterisk/contrib/scripts/ast_coredumper é executado como root, conforme indicado pela tag NOTES na linha 689 do arquivo ast_coredumper. O script carrega (source) o conteúdo do arquivo /etc/asterisk/ast_debug_tools.conf, que reside em uma pasta com permissão de escrita para o usuário e grupo asterisk. Devido ao arquivo /etc/asterisk/ast_debug_tools.conf seguir a semântica do bash e ser carregado, um atacante com permissões de escrita pode adicionar ou modificar o arquivo de modo que, quando o ast_coredumper for executado como root, ele carregará e, consequentemente, executará código bash arbitrário encontrado no /etc/asterisk/ast_debug_tools.conf. Este problema foi corrigido nas versões 20.7-cert9, 20.18.2, 21.12.1, 22.8.2 e 23.2.2.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

15/01/2026

Divulgação

06/02/2026

Moderação

aceite

Entrada

VDB-344707

CPE

pronto

EPSS

0.00041

KEV

não

Atividades

muito baixo

Sector

Chemical, Finance, ...

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-23741
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-23741
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-23741/

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!