CVE-2026-46512 in Frogmaninfo

Zusammenfassung

von VulDB • 17.07.2026

Frogman ermöglicht die headless-PBX-Steuerung über MCP und HTTP-API. Vor Version 1.6.2 akzeptierte fm_dialplan_apply Template-Parameter einschließlich greeting, dest, url, extension, code und file, und Tools/DialplanApply.php schrieb die Ausgabe von Dialplan/Templates.php in extensions_custom.conf, wobei nur Dialplan/TemplateBase.php:38-42 contextName() sanierte. Dies ermöglichte einem PERM_WRITE-Aufrufenden mit confirm:true das Einschleusen beliebiger Asterisk-Direktiven wie System(), Set(SHELL(...)), Goto oder Macro. Dieses Problem wurde in Version 1.6.2 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

14.05.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379606

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!