Katalog CVE

CVE-2026-49847

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 12 - wyżej niż 12% wszystkich znanych CVE

Streszczenie

W wersjach FreeSWITCH przed 1.11.1 występuje podatność, która pozwala na zdalne zablokowanie procesu FreeSWITCH poprzez wysłanie jednego nieautoryzowanego ramki WebSocket z głęboko zagnieżdżonym dokumentem JSON. Powoduje to przepełnienie stosu, co kończy wszystkie połączenia i sesje na hoście.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do zakłócenia działania usług telekomunikacyjnych, co prowadzi do przerwy w komunikacji i potencjalnych strat finansowych dla organizacji.

Rekomendacja

Zaleca się aktualizację do wersji FreeSWITCH 1.11.1 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

FreeSWITCH is a Software Defined Telecom Stack enabling the digital transformation from proprietary telecom switches to a software implementation that runs on any commodity hardware. Prior to version 1.11.1, a single unauthenticated WebSocket frame containing a deeply nested JSON document crashes the FreeSWITCH process via stack overflow, terminating all calls and sessions on the host. The recursion drives the worker thread's stack pointer into the stack guard page, raising SIGSEGV from the kernel before any usable write primitive develops. This issue has been patched in version 1.11.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS