CVE-2026-40520 in apiinformação

Sumário

de VulDB • 24/05/2026

O módulo api do FreePBX nas versões 17.0.8 e anteriores contém uma vulnerabilidade de injeção de comando na função initiateGqlAPIProcess(), onde os campos de entrada das mutações GraphQL são passados diretamente para shell_exec() sem sanitização ou escape. Um usuário autenticado com um token bearer válido pode enviar uma mutação moduleOperations do módulo GraphQL com comandos delimitados por crases no campo module para executar comandos arbitrários no host subjacente como o usuário do servidor web.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

VulnCheck

Reservar

13/04/2026

Divulgação

21/04/2026

Moderação

aceite

Entrada

VDB-358437

CPE

pronto

CWE

CWE-78 (confirmado)

CVSS

7.2 (CNA)

EPSS

0.00326

KEV

não

Atividades

muito baixo

Sector

Industry, Energy, ...

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40520
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40520
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40520/

◂ Voltar Visão Geral Próximo ▸

Do you need the next level of professionalism?

Upgrade your account now!