Plataforma
asterisk
Componente
asterisk
Corregido en
23.2.3
22.8.3
21.12.2
20.18.3
20.7.1
La vulnerabilidad CVE-2026-23738 es una falla de Cross-Site Scripting (XSS) presente en Asterisk, un toolkit de intercambio privado y telefonía de código abierto. Esta vulnerabilidad permite a un atacante inyectar código HTML malicioso, potencialmente comprometiendo la seguridad de la aplicación. Afecta a versiones de Asterisk menores o iguales a 23.2.2, y ha sido resuelta en la versión 23.2.3.
Un atacante puede explotar esta vulnerabilidad inyectando código HTML malicioso a través de Cookies y parámetros GET en la URL del endpoint /httpstatus. Este código malicioso podría ser utilizado para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o ejecutar código JavaScript arbitrario en el navegador del usuario. El impacto potencial incluye la pérdida de confidencialidad, integridad y disponibilidad de los datos. La inyección de código HTML podría permitir el acceso no autorizado a información sensible o la manipulación de la funcionalidad de Asterisk.
La vulnerabilidad CVE-2026-23738 fue publicada el 6 de febrero de 2026. No se ha reportado explotación activa en entornos reales, pero la naturaleza de la vulnerabilidad XSS la convierte en un objetivo potencial para atacantes. La puntuación CVSS de 3.5 (LOW) indica una probabilidad de explotación relativamente baja, pero la vulnerabilidad debe ser parcheada para evitar posibles ataques.
Organizations running Asterisk for VoIP services, particularly those with publicly accessible Asterisk servers or those using default configurations, are at risk. Shared hosting environments where multiple users share an Asterisk instance are also vulnerable.
• linux / server:
journalctl -u asterisk | grep -i 'httpstatus'• generic web:
curl -I http://<asterisk_ip>/httpstatus | grep -i 'set-cookie'• generic web:
curl 'http://<asterisk_ip>/httpstatus?param=<script>alert(1)</script>' -s | grep '<script>'disclosure
Estado del Exploit
EPSS
0.05% (15% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-23738 es actualizar Asterisk a la versión 23.2.3 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar reglas de Web Application Firewall (WAF) para filtrar las entradas de Cookies y parámetros GET, bloqueando cualquier intento de inyección de código HTML. También se puede considerar la validación y el saneamiento de las entradas del usuario en el código de Asterisk para prevenir la inyección de código malicioso. Tras la actualización, verificar la corrección mediante la prueba de la vulnerabilidad en un entorno de pruebas.
Actualice Asterisk a la versión 20.7-cert9, 20.18.2, 21.12.1, 22.8.2 o 23.2.2, o a una versión posterior. Esto corregirá la vulnerabilidad de Cross-Site Scripting (XSS) en la página /httpstatus del servidor web integrado.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-23738 is a Cross-Site Scripting (XSS) vulnerability in Asterisk versions up to 23.2.2, allowing attackers to inject malicious scripts via the /httpstatus endpoint.
You are affected if you are running Asterisk versions 20.7-cert9, 20.18.2, 21.12.1, 22.8.2, or 23.2.2 or earlier. Upgrade to 23.2.3 or later to mitigate the risk.
Upgrade Asterisk to version 23.2.3 or later. As a temporary workaround, implement a WAF rule to filter malicious input on the /httpstatus endpoint.
There are currently no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the official Asterisk security advisory for details: [https://www.asterisk.org/security-advisories/]
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.