CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-40892

Critical
Published: Translated: NVD NIST

Summary

W PJSIP w wersji 2.16 i wcześniejszych występuje przepełnienie bufora stosu w funkcji pjsip_auth_create_digest2() podczas używania wstępnie obliczonych poświadczeń typu digest. Funkcja kopiuje dane poświadczeń bez sprawdzenia górnej granicy długości, co może prowadzić do przepełnienia bufora ha1 o stałej wielkości (128 bajtów).

Risk Assessment

Przepełnienie bufora stosu może prowadzić do nieautoryzowanego dostępu do systemu lub wykonania złośliwego kodu, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację PJSIP do wersji 2.17 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających przed przepełnieniem bufora.

Original NVD description (English source)

PJSIP is a free and open source multimedia communication library written in C. In 2.16 and earlier, a stack buffer overflow exists in pjsip_auth_create_digest2() in PJSIP when using pre-computed digest credentials (PJSIP_CRED_DATA_DIGEST). The function copies credential data using cred_info->data.slen as the length without an upper-bound check, which can overflow the fixed-size ha1 stack buffer (128 bytes) if data.slen exceeds the expected digest string length.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS