CVE-2026-40520

Name of the Vulnerable Software and Affected Versions FreePBX api module versões anteriores a 17.0.9

Description Existe um problema na função initiateGqlAPIProcess() onde os campos de entrada de mutação GraphQL são passados diretamente para shell exec() sem sanitização ou escape. Um usuário autenticado com um token bearer válido pode enviar uma mutação GraphQL moduleOperations contendo comandos envoltos em crases no campo module para executar comandos arbitrários no host subjacente como o usuário do servidor web.

Recommendations Atualize para uma versão posterior a 17.0.8. Como medida paliativa temporária, restrinja o acesso à função initiateGqlAPIProcess() ou à mutação GraphQL moduleOperations.