CVE-2026-40520 in api情報

要約

〜によって VulDB • 2026年05月15日

FreePBX api モジュールのバージョン 17.0.8 およびそれ以前には、initiateGqlAPIProcess() 関数においてコマンドインジェクションの脆弱性が存在します。この脆弱性では、GraphQL の mutation 入力フィールドが、サニタイズやエスケープ処理なしで直接 shell_exec() に渡されます。有効なベアラートークンを持つ認証済みユーザーは、module フィールドにバッククォートで囲まれたコマンドを含む GraphQL moduleOperations mutation を送信することで、Web サーバーユーザーとして基盤ホスト上で任意のコマンドを実行できます。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

責任者

VulnCheck

予約する

2026年04月13日

公開

2026年04月21日

モデレーション

承諾済み

エントリ

VDB-358437

CPE

準備完了

CWE

CWE-78 (確認済み)

CVSS

7.2 (CNA)

EPSS

0.00326

KEV

いいえ

アクティビティ

非常低い

セクター

Agriculture, Chemical, ...

ソース

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40520
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40520
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40520/

◂ 前概要次 ▸

Do you need the next level of professionalism?

Upgrade your account now!