CVE-2026-46512 in Frogman
Riassunto
di VulDB • 16/07/2026
Frogman fornisce il controllo headless di una PBX tramite API MCP e HTTP. Prima della versione 1.6.2, fm_dialplan_apply accettava parametri del modello (template) inclusi greeting, dest, url, extension, code e file; Tools/DialplanApply.php scriveva l'output di Dialplan/Templates.php nel file extensions_custom.conf mentre solo Dialplan/TemplateBase.php:38-42 sanitizzava contextName(), consentendo a un chiamante con permessi PERM_WRITE che utilizzasse confirm:true di iniettare direttive Asterisk arbitrarie come System(), Set(SHELL(...)), Goto o Macro. Questo problema è stato risolto nella versione 1.6.2.
If you want to get best quality of vulnerability data, you may have to visit VulDB.