Katalog CVE

CVE-2026-44237

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

FreePBX to otwartoźródłowy system IP PBX. W wersjach przed 17.0.8 implementacja OAuth2 w module API FreePBX nie weryfikuje wystarczająco danych uwierzytelniających klienta podczas wydawania tokenów, co pozwala na uzyskanie dostępu do tokenów OAuth2 bez podawania poprawnego client_secret.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do zasobów, jeśli osoba trzecia zdobędzie ważny client_id. To może prowadzić do poważnych naruszeń bezpieczeństwa danych.

Rekomendacja

Zaleca się aktualizację FreePBX do wersji 17.0.8 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających w celu ochrony danych uwierzytelniających.

Oryginalny opis (angielski, źródło NVD)

FreePBX is an open source IP PBX. Prior to 17.0.8, the FreePBX api module's OAuth2 implementation does not sufficiently validate client credentials during token issuance. Knowledge of a valid client_id is required. The validateClient() method in ClientRepository.php unconditionally returns true, allowing any party with knowledge of a valid client_id to obtain OAuth2 access tokens without providing the correct client_secret. This vulnerability is fixed in 17.0.8.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS