CVE-2026-46512 in Frogmaninformación

Resumen

por VulDB • 2026-07-16

Frogman proporciona control de PBX sin interfaz gráfica (headless) a través de MCP y API HTTP. Antes de la versión 1.6.2, fm_dialplan_apply aceptaba parámetros de plantilla que incluían greeting, dest, url, extension, code y file, y Tools/DialplanApply.php escribía la salida de Dialplan/Templates.php en extensions_custom.conf mientras solo Dialplan/TemplateBase.php:38-42 sanitizaba contextName(), lo que permitía a un usuario con permisos de escritura (PERM_WRITE) usando confirm:true inyectar directivas arbitrarias de Asterisk como System(), Set(SHELL(...)), Goto o Macro. Este problema está corregido en la versión 1.6.2.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2026-05-14

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379606

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!