CVE-2026-44238
WysokieCVSS 8.8Streszczenie
FreePBX to otwarte oprogramowanie IP PBX. W wersjach przed 16.0.50 i 17.0.11, strona modułu raportów CDR umożliwia wstrzyknięcie SQL poprzez parametry POST 'order' i 'sort'. Wymagana jest autoryzacja za pomocą konta w panelu administracyjnym FreePBX z dostępem do sekcji CDR.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do danych w bazie, co stwarza ryzyko wycieku informacji lub manipulacji danymi. Choć pełne uprawnienia administratora nie są wymagane, dostęp do sekcji CDR może być wystarczający do przeprowadzenia ataku.
Rekomendacja
Zaleca się aktualizację FreePBX do wersji 16.0.50 lub 17.0.11, aby usunąć tę podatność. Należy również rozważyć przegląd i ograniczenie dostępu do sekcji CDR dla użytkowników z niższymi uprawnieniami.
Oryginalny opis (angielski, źródło NVD)
FreePBX is an open source IP PBX. Prior to 16.0.50 and 17.0.11, the CDR Reports module page allows SQL injection through the order and sort POST parameters. Authentication with a FreePBX Administration Control Panel account that has CDR section access is required. Full administrator privileges are not needed. This vulnerability is fixed in 16.0.50 and 17.0.11.

