PT-2026-44843 · Freepbx · Freepbx
Mil1200
·
Publicado
2026-05-29
·
Atualizado
2026-05-30
·
CVE-2026-44238
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
FreePBX versões anteriores a 16.0.50
FreePBX versões anteriores a 17.0.11
Description
A página do módulo CDR Reports permite a injeção de SQL, uma técnica onde instruções SQL maliciosas são inseridas em campos de entrada para execução. Este problema ocorre através dos parâmetros POST
order e sort. A exploração requer autenticação com uma conta do Painel de Controle de Administração do FreePBX que tenha acesso à seção CDR, embora privilégios totais de administrador não sejam necessários.Recommendations
Atualizar para a versão 16.0.50.
Atualizar para a versão 17.0.11.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Freepbx