CVE-2026-49472
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 - wyżej niż 12% wszystkich znanych CVE
Streszczenie
FreeSWITCH przed wersją 1.11.0 zawierał podatną funkcję PREFIX(prologTok)(), która została sklonowana z przestarzałej i podatnej wersji w libexpat. Funkcja ta nie otrzymała odpowiedniej łatki zabezpieczającej.
Ocena ryzyka
Organizacje korzystające z wersji FreeSWITCH przed 1.11.0 są narażone na potencjalne ataki wykorzystujące tę podatność, co może prowadzić do nieautoryzowanego dostępu lub innych zagrożeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację FreeSWITCH do wersji 1.11.0 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
FreeSWITCH is a Software Defined Telecom Stack enabling the digital transformation from proprietary telecom switches to a software implementation that runs on any commodity hardware. Prior to version 1.11.0, FreeSWITCH includes a vulnerable function, PREFIX(prologTok)(), in libs/xmlrpc-c/lib/expat/xmltok/xmltok_impl.c, which was cloned from an outdated and vulnerable version in libexpat/libexpat. The function did not receive the corresponding security patch. This issue has been patched in version 1.11.0.

