Pubblicato il 2026-07-16 · Fonte: NVD NIST
La vulnerabilità CVE-2026-46512 è stata scoperta nel sistema Frogman, che fornisce il controllo headless PBX attraverso MCP e HTTP API. La versione precedente alla 1.6.2 presenta una debolezza che consente a un utente con permessi di scrittura di iniettare direttive Asterisk arbitrarie, come System(), Set(SHELL(...)), Goto o Macro. Ciò è possibile a causa della mancanza di sanificazione dei parametri di template nel file Tools/DialplanApply.php. La versione 1.6.2 risolve questo problema.
Un attaccante può sfruttare questa vulnerabilità per eseguire comandi arbitrari sul sistema, ottenendo così un accesso non autorizzato e potenzialmente causando danni significativi. I sistemi a rischio sono quelli che utilizzano il sistema Frogman con versioni precedenti alla 1.6.2.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il sistema Frogman alla versione 1.6.2 o successiva. Se non è possibile eseguire l'aggiornamento, si raccomanda di limitare l'accesso al sistema e di implementare controlli di sicurezza aggiuntivi per prevenire l'iniezione di direttive Asterisk arbitrarie.
La vulnerabilità CVE-2026-46512 è una debolezza critica nel sistema Frogman che consente l'iniezione di direttive Asterisk arbitrarie
Un attaccante può sfruttare questa vulnerabilità per eseguire comandi arbitrari sul sistema, ottenendo così un accesso non autorizzato e potenzialmente causando danni significativi
Per proteggersi da questa vulnerabilità, si consiglia di aggiornare il sistema Frogman alla versione 1.6.2 o successiva e di implementare controlli di sicurezza aggiuntivi per prevenire l'iniezione di direttive Asterisk arbitrarie
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.