CVE-2026-44239
WysokieCVSS 8.8Streszczenie
Moduł Dashboard w FreePBX przed wersjami 16.0.22 i 17.0.5 zawiera podatność, która pozwala na wstrzykiwanie plików PHP na podstawie danych dostarczonych przez użytkownika, bez odpowiedniej sanitizacji ścieżek. Parametr $_REQUEST['rawname'] jest używany w wywołaniu include() z sufiksem .class.php, co umożliwia atakującemu przeprowadzenie ataku typu path traversal.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do wykonania dowolnego kodu PHP na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu oraz danych organizacji.
Rekomendacja
Zaleca się aktualizację FreePBX do wersji 16.0.22 lub 17.0.5, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie i audyt dostępu do systemu.
Oryginalny opis (angielski, źródło NVD)
FreePBX is an open source IP PBX. Prior to 16.0.22 and 17.0.5, the Dashboard module's getcontent AJAX handler includes PHP files based on user-supplied input without path sanitization. The $_REQUEST['rawname'] parameter is concatenated into an include() call with a .class.php suffix, allowing path traversal via ../ sequences to include arbitrary .class.php files from the filesystem. The included file's PHP code executes before the subsequent class instantiation error occurs. This vulnerability is fixed in 16.0.22 and 17.0.5.

