CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-34235

Critical
Published: Translated: NVD NIST

Summary

W bibliotece PJSIP przed wersją 2.17 występuje podatność na odczyt poza przydzielonym obszarem pamięci w unpacketizerze RTP VP9, która pojawia się podczas analizy spreparowanych danych Scalability Structure (SS). Niewystarczająca kontrola długości opisu ładunku może prowadzić do odczytów poza przydzielonym buforem ładunku RTP.

Risk Assessment

Organizacje mogą być narażone na nieautoryzowany dostęp do pamięci, co może prowadzić do ujawnienia wrażliwych danych lub destabilizacji systemu. W przypadku wykorzystania tej podatności, atakujący może zyskać przewagę nad systemem.

Recommendation

Zaleca się aktualizację biblioteki PJSIP do wersji 2.17 lub nowszej. Jeśli kodek VP9 nie jest potrzebny, można również rozważyć jego wyłączenie jako tymczasowe rozwiązanie.

Original NVD description (English source)

PJSIP is a free and open source multimedia communication library written in C. Prior to version 2.17, a heap out-of-bounds read vulnerability exists in PJSIP's VP9 RTP unpacketizer that occurs when parsing crafted VP9 Scalability Structure (SS) data. Insufficient bounds checking on the payload descriptor length may cause reads beyond the allocated RTP payload buffer. This issue has been patched in version 2.17. A workaround for this issue involves disabling VP9 codec if not needed.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS