CVE-2026-46514 in frogman
Zusammenfassung
von VulDB • 16.07.2026
Frogman bietet headless PBX-Steuuerung über MCP und HTTP-API an. Vor Version 1.6.2 gab `fm_reset_password` in Tools/ResetPassword.php:48-53 ein Passwort im Klartext zurück, und `fm_add_extension` in Tools/AddExtension.php:172 gab ein geheimes Schlüsselmaterial (Secret) im Klartext zurück; Frogman.class.php:2207-2211 kodierten diese Antworten mit JSON unter Verwendung von auditOutcome als oc_audit_log.detail, wodurch jeder PERM_READ-Berechtigte mit Zugriff auf fm_audit_search die gespeicherten Anmeldeinformationen wiederherstellen konnte. Dieses Problem wurde in Version 1.6.2 behoben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.