CVE-2026-46512 in Frogmanالمعلومات

الملخص

بحسب VulDB • 17/07/2026

يوفر Frogman التحكم في PBX بدون واجهة مستخدم (headless) عبر MCP وHTTP API. قبل الإصدار 1.6.2، كان fm_dialplan_apply يقبل معلمات القالب بما في ذلك greeting, dest, url, extension, code, وfile، وكان Tools/DialplanApply.php يكتب مخرجات Dialplan/Templates.php إلى extensions_custom.conf بينما كانت فقط Dialplan/TemplateBase.php:38-42 تقوم بتنظيف contextName()، مما سمح لمُستخدم PERM_WRITE باستخدام confirm:true بحقن توجيهات Asterisk عشوائية مثل System(), Set(SHELL(...)), Goto, أو Macro. تم إصلاح هذه المشكلة في الإصدار 1.6.2.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

14/05/2026

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379606

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!