CVE-2026-46512 in Frogman
요약
\~에 의해 VulDB • 2026. 07. 16.
Frogman은 MCP 및 HTTP API를 통해 헤드리스 PBX 제어를 제공합니다. 버전 1.6.2 이전의 fm_dialplan_apply는 greeting, dest, url, extension, code, file을 포함한 템플릿 매개변수를 수락했으며, Tools/DialplanApply.php는 Dialplan/Templates.php 출력을 extensions_custom.conf에 작성했습니다. 이때 contextName()은 오직 Dialplan/TemplateBase.php:38-42에서만 sanitization 처리되었습니다. 이로 인해 confirm:true를 사용하는 PERM_WRITE 호출자가 System(), Set(SHELL(...)), Goto, Macro와 같은 임의의 Asterisk 지시문을 주입할 수 있었습니다. 이 문제는 버전 1.6.2에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.