J0Eblow

**Nome do Software Vulnerável e Versões Afetadas** Módulo contactmanager do FreePBX versões 15.0.14 e inferiores Módulo contactmanager do FreePBX versões 16.0.0 a 16.0.26 Módulo contactmanager do FreePBX versões 17.0.0 a 17.0.5 **Descrição** O módulo contactmanager do FreePBX contém uma vulnerabilidade de cross-site scripting (XSS) armazenado. Um usuário do Painel de Controle do Usuário (UCP) com baixos privilégios pode injetar JavaScript malicioso no sistema. O código malicioso executa no contexto de um administrador quando este interage com o componente afetado, potencialmente levando ao sequestro de sessão e escalonamento de privilégios. **Recomendações** Módulo contactmanager do FreePBX versão 15.0.15 ou posterior Módulo contactmanager do FreePBX versão 16.0.27 ou posterior Módulo contactmanager do FreePBX versão 17.0.6 ou posterior

**Nome do Software Vulnerável e Versões Afetadas** Versões do FreePBX anteriores à 15.0.13 Versões do FreePBX 16.0.2 até a 16.0.14 Versões do FreePBX 17.0.1 e 17.0.2 **Descrição** O módulo `api` do FreePBX, uma interface gráfica de código aberto para o Asterisk, está suscetível a um problema no qual uma chave privada OAuth compartilhada é utilizada em múltiplos sistemas instalados com o mesmo pacote do FreePBX. Um atacante com acesso a esta chave poderia forjar tokens JWT, contornar a autenticação e potencialmente obter acesso total a ambos os `Endpoints` de API REST e GraphQL. Sistemas com o módulo "api" habilitado, configurado e previamente ativado por um administrador para conexões remotas de entrada podem ser afetados. **Recomendações** Atualize para a versão 15.0.13 ou posterior do FreePBX. Atualize para a versão 16.0.15 ou posterior do FreePBX. Atualize para a versão 17.0.3 ou posterior do FreePBX.