关键漏洞信息 概述 标题: Multiple vulnerabilities in Digium Asterisk and Certified Asterisk 发布日期: 2019-11-22 风险等级: 高 漏洞详情 漏洞数量: 3 CVE-ID: - CVE-2019-18790 - CVE-2019-18976 - CVE-2019-18610 CWE-ID: - CWE-284 - CWE-20 - CWE-78 漏洞情况 利用向量: 网络 已知公开漏洞: 否 受影响软件: - Asterisk Open Source - Certified Asterisk 厂商: Digium (Linux Support Services) 安全公告 此安全公告包含关于3个漏洞的信息。 1) 不当访问控制 风险: 中等 CVSS v4.0: 2.7 CVE-ID: CVE-2019-18790 CWE-ID: CWE-284 可利用性: 否 描述: 远程攻击者可以通过未经正确授权访问受限制功能。 缓解措施: 安装来自厂商网站的更新。 受影响软件版本: - Asterisk Open Source: 13.0.0 - 17.0.0 - Certified Asterisk: 13.21 - 13.21-cert4 2) 输入验证错误 风险: 中等 CVSS v4.0: 6.6 CVE-ID: CVE-2019-18976 CWE-ID: CWE-20 可利用性: 否 描述: 远程攻击者可以执行拒绝服务(DoS)攻击。 缓解措施: 安装来自厂商网站的更新。 受影响软件版本: - Asterisk Open Source: 13.0.0 - 13.29.1 - Certified Asterisk: 13.21 - 13.21-cert4 3) OS命令注入 风险: 高 CVSS v4.0: 6.3 CVE-ID: CVE-2019-18610 CWE-ID: CWE-78 可利用性: 否 描述: 远程攻击者可以在目标系统上执行任意shell命令。 缓解措施: 安装来自厂商网站的更新。 受影响软件版本: - Asterisk Open Source: 13.0.0 - 17.0.0 - Certified Asterisk: 13.21 - 13.21-cert4