2026-0440: Digium Asterisk, Digium Certified Asterisk: Mehrere Schwachstellen ermöglichen u. a. einen Cross-Site-Scripting-Angriff
Historie:
- Version 1 (2026-02-06 14:36)
- Neues Advisory
- Version 2 (2026-03-30 14:26)
- Für Debian 11 Bullseye (LTS) steht Version 1:16.28.0~dfsg-0+deb11u9 von 'asterisk' bereit, um vier Schwachstellen zu beheben.
Betroffene Software
Office
Server
Systemsoftware
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer kann eine Schwachstelle (CVE-2026-23739) theoretisch aus der Ferne ausnutzen, um Daten zu manipulieren. Aktuell ist eine Verwundbarkeit in Asterisk nicht gegeben, eine Korrektur wird zur Verhinderung etwaiger Probleme in der Zukunft vorgenommen. Eine Schwachstelle kann ein Angreifer im benachbarten Netzwerk ausnutzen, um einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Und zwei Schwachstellen ermöglichen einem Angreifer möglicherweise lokal Privilegien zu eskalieren, wobei hierfür keine Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit angegeben werden.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.
Zur Behebung der Schwachstellen stehen die Asterisk Versionen 20.18.2, 21.12.1, 22.8.2 und 23.2.2 sowie Certified Asterisk 20.7-cert9 als Sicherheitsupdates zur Verfügung.
Schwachstellen:
CVE-2026-23738
Schwachstelle in Digium Asterisk und Digium Certified Asterisk ermöglicht Cross-Site-Scripting-AngriffCVE-2026-23739
Schwachstelle in Digium Asterisk und Digium Certified Asterisk ermöglicht Manipulation von DatenCVE-2026-23740 CVE-2026-23741
Schwachstellen in Digium Asterisk und Digium Certified Asterisk ermöglichen Privilegieneskalation
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.