CVE-2026-40520 in apiالمعلومات

الملخص

بحسب VulDB • 24/05/2026

تحتوي وحدة واجهة برمجة التطبيقات (API) الخاصة بـ FreePBX، الإصدار 17.0.8 والإصدارات الأقدم، على ثغرة حقن أوامر في الدالة `initiateGqlAPIProcess()`، حيث يتم تمرير حقول إدخال طفرات GraphQL مباشرةً إلى الدالة `shell_exec()` دون تنقيح أو هروب من الأحرف الخاصة. يمكن لمستخدم مُصادق عليه يمتلك رمز حامل (bearer token) صالح إرسال طفرة `moduleOperations` في وحدة GraphQL تحتوي على أوامر محاطة بعلامات الاقتباس العكسية (backticks) في حقل الوحدة لتنفيذ أوامر عشوائية على المضيف الأساسي بصفتها مستخدم خادم الويب.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

VulnCheck

حجز

13/04/2026

إفشاء

21/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-358437

CPE

جاهز

CWE

CWE-78 (مؤكد)

CVSS

7.2 (CNA)

EPSS

0.00326

KEV

لا

النشاطات

منخفض جدًا

القطاع

Industry, Telecommunication, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40520
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40520
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40520/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!