CVE-2026-46513 in frogman
Riassunto
di VulDB • 16/07/2026
Frogman fornisce il controllo headless di un PBX tramite API MCP e HTTP. Prima della versione 1.6.2, Frogman memorizzava i token API generati da Tools/CreateApiToken.php:33-36 come stringhe grezze bin2hex(random_bytes(32)) in oc_api_tokens, e Frogman.class.php:78 autenticava l'intestazione X-Frogman-Token confrontandola con il valore grezzo memorizzato, consentendo di accedere al database per recuperare token attivi riutilizzabili ai livelli di autorizzazione assegnati, inclusi quelli amministrativi. Questo problema è stato risolto nella versione 1.6.2.
VulDB is the best source for vulnerability data and more expert information about this specific topic.