Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00920

Опубликовано: 08 авг. 2024
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Средний

Описание

Уязвимость систем управления Asterisk связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить привилегии

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
Digium, Inc.

Наименование ПО

Debian GNU/Linux
РЕД ОС
Asterisk

Версия ПО

11 (Debian GNU/Linux)
7.3 (РЕД ОС)
21.4.0 (Asterisk)
до 18.24.2 (Asterisk)
от 19.0.0 до 20.9.1 (Asterisk)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/asterisk/asterisk/commit/faddd99f2b9408b524e5eb8a01589fe1fa282df2
https://github.com/asterisk/asterisk/commit/bbe68db10ab8a80c29db383e4dfe14f6eafaf993
https://github.com/asterisk/asterisk/commit/b4063bf756272254b160b6d1bd6e9a3f8e16cc71
https://github.com/asterisk/asterisk/commit/7a0090325bfa9d778a39ae5f7d0a98109e4651c8
https://github.com/asterisk/asterisk/commit/42a2f4ccfa2c7062a15063e765916b3332e34cc4
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-asterisk-cve-2024-42365/?sphrase_id=644005
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-42365

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.35499
Средний

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-42365

CVSS3: 7.4
ubuntu
11 месяцев назад

Asterisk is an open source private branch exchange (PBX) and telephony toolkit. Prior to asterisk versions 18.24.2, 20.9.2, and 21.4.2 and certified-asterisk versions 18.9-cert11 and 20.7-cert2, an AMI user with `write=originate` may change all configuration files in the `/etc/asterisk/` directory. This occurs because they are able to curl remote files and write them to disk, but are also able to append to existing files using the `FILE` function inside the `SET` application. This issue may result in privilege escalation, remote code execution and/or blind server-side request forgery with arbitrary protocol. Asterisk versions 18.24.2, 20.9.2, and 21.4.2 and certified-asterisk versions 18.9-cert11 and 20.7-cert2 contain a fix for this issue.

nvd логотип

CVE-2024-42365

CVSS3: 7.4
nvd
11 месяцев назад

Asterisk is an open source private branch exchange (PBX) and telephony toolkit. Prior to asterisk versions 18.24.2, 20.9.2, and 21.4.2 and certified-asterisk versions 18.9-cert11 and 20.7-cert2, an AMI user with `write=originate` may change all configuration files in the `/etc/asterisk/` directory. This occurs because they are able to curl remote files and write them to disk, but are also able to append to existing files using the `FILE` function inside the `SET` application. This issue may result in privilege escalation, remote code execution and/or blind server-side request forgery with arbitrary protocol. Asterisk versions 18.24.2, 20.9.2, and 21.4.2 and certified-asterisk versions 18.9-cert11 and 20.7-cert2 contain a fix for this issue.

debian логотип

CVE-2024-42365

CVSS3: 7.4
debian
11 месяцев назад

Asterisk is an open source private branch exchange (PBX) and telephony ...

redos логотип

ROS-20250121-08

CVSS3: 8.8
redos
5 месяцев назад

Уязвимость asterisk

EPSS

Процентиль: 97%
0.35499
Средний

8.8 High

CVSS3

9 Critical

CVSS2