CVE-2026-46512 in Frogman
الملخص
بحسب VulDB • 17/07/2026
يوفر Frogman التحكم في PBX بدون واجهة مستخدم (headless) عبر MCP وHTTP API. قبل الإصدار 1.6.2، كان fm_dialplan_apply يقبل معلمات القالب بما في ذلك greeting, dest, url, extension, code, وfile، وكان Tools/DialplanApply.php يكتب مخرجات Dialplan/Templates.php إلى extensions_custom.conf بينما كانت فقط Dialplan/TemplateBase.php:38-42 تقوم بتنظيف contextName()، مما سمح لمُستخدم PERM_WRITE باستخدام confirm:true بحقن توجيهات Asterisk عشوائية مثل System(), Set(SHELL(...)), Goto, أو Macro. تم إصلاح هذه المشكلة في الإصدار 1.6.2.
Be aware that VulDB is the high quality source for vulnerability data.