Katalog CVE

CVE-2026-49475

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.06%

Percentyl 19 - wyżej niż 19% wszystkich znanych CVE

Streszczenie

W wersjach przed 1.11.0 FreeSWITCH występuje podatność związana z przetwarzaniem pakietów STUN, która może prowadzić do nieautoryzowanego dostępu do pamięci. Problem polega na tym, że długość atrybutu zadeklarowana w pakiecie jest krótsza niż struktura, co powoduje odczyt i zapis poza granicami atrybutu.

Ocena ryzyka

Organizacje korzystające z FreeSWITCH mogą być narażone na ataki, które wykorzystują tę podatność do uzyskania dostępu do wrażliwych danych lub destabilizacji systemu. Potencjalne skutki obejmują awarie usług telekomunikacyjnych oraz naruszenia bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację FreeSWITCH do wersji 1.11.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować systemy pod kątem nieautoryzowanych prób dostępu.

Oryginalny opis (angielski, źródło NVD)

FreeSWITCH is a Software Defined Telecom Stack enabling the digital transformation from proprietary telecom switches to a software implementation that runs on any commodity hardware. Prior to version 1.11.0, a STUN packet whose declared attribute length is shorter than the structure the parser casts to causes the parser to read and write past the end of the attribute, producing an out-of-bounds memory access on the per-leg media buffer. This issue has been patched in version 1.11.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS