CVE-2022-23537 - PJSIP is a free and open source multimedia communication library written in C language implementing

CVE-2022-23537

Summary

PJSIP is a free and open source multimedia communication library written in C language implementing standard based protocols such as SIP, SDP, RTP, STUN, TURN, and ICE. Buffer overread is possible when parsing a specially crafted STUN message with unknown attribute. The vulnerability affects applications that uses STUN including PJNATH and PJSUA-LIB. The patch is available as a commit in the master branch (2.13.1).

References

Vulnerable Configurations

cpe:2.3:a:teluu:pjsip:0.5.0.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.0.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.2:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.2:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.3:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.3:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.4:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.4:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.5.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.5.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.6:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.6:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.6.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.6.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.7:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.7:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.8:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.8:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.9:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.9:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.10:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.10:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.10.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.10.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.10.2:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.10.2:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.10.3:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.10.3:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.10.4:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.5.10.4:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.7.0:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.7.0:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.7.0:rc1:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.7.0:rc1:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.8.0:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.8.0:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.9.0:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:0.9.0:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.0:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.0:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.0:rc1:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.0:rc1:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.0:rc2:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.0:rc2:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.0:rc3:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.0:rc3:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.0:rc4:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.0:rc4:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.0.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.0.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.0.2:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.0.2:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.0.3:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.0.3:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.2:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.2:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.3:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.3:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.4:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.4:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.4.5:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.4.5:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.5:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.5:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.5.5:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.5.5:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.6:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.6:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.7:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.7:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.8:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.8:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.8.5:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.8.5:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.8.10:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.8.10:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.10:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.10:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.12:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.12:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.14:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.14:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.14.2:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.14.2:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.16:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:1.16:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.0:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.0:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.0:alpha:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.0:alpha:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.0:beta:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.0:beta:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.0:rc:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.0:rc:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.0.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.0.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.2:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.2:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.2.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.2.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.3:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.3:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.4:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.4:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.4.5:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.4.5:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.5:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.5:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.5.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.5.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.5.5:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.5.5:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.6:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.6:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.7:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.7:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.7.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.7.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.7.2:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.7.2:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.8:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.8:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.9:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.9:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.10:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.10:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.11:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.11:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.11.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.11.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.12:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.12:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.12.1:*:*:*:*:*:*:*
cpe:2.3:a:teluu:pjsip:2.12.1:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*

CVSS

Base:	None
Impact:
Exploitability:

CWE

CWE-122

CAPEC

Forced Integer Overflow
This attack forces an integer variable to go out of range. The integer variable is often used as an offset such as size of memory allocation or similarly. The attacker would typically control the value of such variable and try to get it out of range. For instance the integer in question is incremented past the maximum possible value, it may wrap to become a very small, or negative number, therefore providing a very incorrect value which can lead to unexpected behavior. At worst the attacker can execute arbitrary code.

Access

Vector	Complexity	Authentication

Impact

Confidentiality	Integrity	Availability

Last major update

25-01-2024 - 21:02

Published

20-12-2022 - 19:15

Last modified

25-01-2024 - 21:02