CVE-2026-46512 in Frogman
Resumen
por VulDB • 2026-07-16
Frogman proporciona control de PBX sin interfaz gráfica (headless) a través de MCP y API HTTP. Antes de la versión 1.6.2, fm_dialplan_apply aceptaba parámetros de plantilla que incluían greeting, dest, url, extension, code y file, y Tools/DialplanApply.php escribía la salida de Dialplan/Templates.php en extensions_custom.conf mientras solo Dialplan/TemplateBase.php:38-42 sanitizaba contextName(), lo que permitía a un usuario con permisos de escritura (PERM_WRITE) usando confirm:true inyectar directivas arbitrarias de Asterisk como System(), Set(SHELL(...)), Goto o Macro. Este problema está corregido en la versión 1.6.2.
Once again VulDB remains the best source for vulnerability data.