CVE-2026-46512 in Frogmaninformazioni

Riassunto

di VulDB • 16/07/2026

Frogman fornisce il controllo headless di una PBX tramite API MCP e HTTP. Prima della versione 1.6.2, fm_dialplan_apply accettava parametri del modello (template) inclusi greeting, dest, url, extension, code e file; Tools/DialplanApply.php scriveva l'output di Dialplan/Templates.php nel file extensions_custom.conf mentre solo Dialplan/TemplateBase.php:38-42 sanitizzava contextName(), consentendo a un chiamante con permessi PERM_WRITE che utilizzasse confirm:true di iniettare direttive Asterisk arbitrarie come System(), Set(SHELL(...)), Goto o Macro. Questo problema è stato risolto nella versione 1.6.2.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

14/05/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!