L’équipe de recherche en sécurité de JFrog a révélé l’existence de cinq vulnérabilités dans la bibliothèque de communication multimédia open-source « PJSIP ». Ces failles pourraient permettre à un attaquant l’exécution de code arbitraire et un déni de service (DoS) dans les applications qui utilisent la bibliothèque PJSIP.

PJSIP est une suite de protocole SIP intégrée open-source écrite en C qui prend en charge les fonctions audio, vidéo et de messagerie instantanée pour des plateformes de communication populaires telles que WhatsApp et BlueJeans. Elle est également utilisée par Asterisk, un système de commutation d'autocommutateur privé (PBX) largement utilisé pour les réseaux VoIP.

Parmi ces bogues, trois permettent à un acteur de menace l’exécution de code arbitraires, connus sous les noms CVE-2021-43299, CVE-2021-43300 et CVE-2021-43301 avec un score CVSS de 8.1, cette attaque est causée par un débordement de pile dans l’API PJSUA lors de l’appel des fonctions « pjsua_player_create () », « pjsua_recorder_create () » et « pjsua_playlist_create () ».

Les deux restants répertoriés comme CVE-2021-43302 et CVE-2021-43303 avec un score CVSS de 5.9, permettent à un attaquant de provoquer un déni de service à cause d’une lecture hors limites dans l'API PJSUA lors de l'appel de « pjsua_recorder_create () » et un dépassement de tampon dans l'API PJSUA lors de l'appel de « pjsua_call_dump () ».

Afin de corriger complètement ces vulnérabilités, il est recommandé de mettre à niveau la bibliothèque PJSIP vers la version 2.12.