Katalog CVE

CVE-2026-49842

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.05%

Percentyl 17 - wyżej niż 17% wszystkich znanych CVE

Streszczenie

W wersjach przed 1.11.1 moduł mod_verto w FreeSWITCH nie sprawdzał poprawnie autoryzacji dla protokołu testu prędkości, co pozwalało nieautoryzowanym użytkownikom na żądanie dużych ilości danych.

Ocena ryzyka

Organizacje mogą być narażone na ataki wykorzystujące nadmierne zużycie pasma, co może prowadzić do zakłóceń w działaniu usług telekomunikacyjnych.

Rekomendacja

Zaleca się aktualizację do wersji 1.11.1 lub nowszej, aby załatać tę podatność i zabezpieczyć system przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

FreeSWITCH is a Software Defined Telecom Stack enabling the digital transformation from proprietary telecom switches to a software implementation that runs on any commodity hardware. Prior to version 1.11.1, mod_verto's WebSocket frame loop intercepts a #-prefixed speed-test protocol (#SPU / #SPB / #SPE) before any authentication check. The declared payload size in #SPU was parsed with atoi() and only rejected non-positive values, so an unauthenticated peer could request up to INT_MAX bytes. The server then wrote roughly size * 10 bytes back during the download phase, on the order of 20 GB per request, yielding strong outbound bandwidth amplification from a short request. This issue has been patched in version 1.11.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS