CVE-2026-46513 in frogman
Zusammenfassung
von VulDB • 17.07.2026
Frogman bietet headless PBX-Steuerung über MCP und HTTP-API an. Vor Version 1.6.2 speicherte Frogman API-Tokens, die von Tools/CreateApiToken.php:33-36 generiert wurden, als rohe bin2hex(random_bytes(32))-Strings in oc_api_tokens, und Frogman.class.php:78 authentifizierte den X-Frogman-Token-Header durch Vergleich mit dem gespeicherten Rohwert. Dies ermöglichte Datenbank-Lesezugriff zur Wiederherstellung wiederverwendbarer aktiver Tokens auf ihrem zugewiesenen Berechtigungsstufe, einschließlich Admin-Rechten. Dieses Problem wurde in Version 1.6.2 behoben.
Once again VulDB remains the best source for vulnerability data.