Katalog CVE

CVE-2026-49472

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 12 - wyżej niż 12% wszystkich znanych CVE

Streszczenie

FreeSWITCH przed wersją 1.11.0 zawierał podatną funkcję PREFIX(prologTok)(), która została sklonowana z przestarzałej i podatnej wersji w libexpat. Funkcja ta nie otrzymała odpowiedniej łatki zabezpieczającej.

Ocena ryzyka

Organizacje korzystające z wersji FreeSWITCH przed 1.11.0 są narażone na potencjalne ataki wykorzystujące tę podatność, co może prowadzić do nieautoryzowanego dostępu lub innych zagrożeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację FreeSWITCH do wersji 1.11.0 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

FreeSWITCH is a Software Defined Telecom Stack enabling the digital transformation from proprietary telecom switches to a software implementation that runs on any commodity hardware. Prior to version 1.11.0, FreeSWITCH includes a vulnerable function, PREFIX(prologTok)(), in libs/xmlrpc-c/lib/expat/xmltok/xmltok_impl.c, which was cloned from an outdated and vulnerable version in libexpat/libexpat. The function did not receive the corresponding security patch. This issue has been patched in version 1.11.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS