Katalog CVE

CVE-2026-34235

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W bibliotece PJSIP przed wersją 2.17 występuje podatność na odczyt poza przydzielonym obszarem pamięci w unpacketizerze RTP VP9, która pojawia się podczas analizy spreparowanych danych Scalability Structure (SS). Niewystarczająca kontrola długości opisu ładunku może prowadzić do odczytów poza przydzielonym buforem ładunku RTP.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do pamięci, co może prowadzić do ujawnienia wrażliwych danych lub destabilizacji systemu. W przypadku wykorzystania tej podatności, atakujący może zyskać przewagę nad systemem.

Rekomendacja

Zaleca się aktualizację biblioteki PJSIP do wersji 2.17 lub nowszej. Jeśli kodek VP9 nie jest potrzebny, można również rozważyć jego wyłączenie jako tymczasowe rozwiązanie.

Oryginalny opis (angielski, źródło NVD)

PJSIP is a free and open source multimedia communication library written in C. Prior to version 2.17, a heap out-of-bounds read vulnerability exists in PJSIP's VP9 RTP unpacketizer that occurs when parsing crafted VP9 Scalability Structure (SS) data. Insufficient bounds checking on the payload descriptor length may cause reads beyond the allocated RTP payload buffer. This issue has been patched in version 2.17. A workaround for this issue involves disabling VP9 codec if not needed.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS