CVE-2026-49847
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 - wyżej niż 12% wszystkich znanych CVE
Streszczenie
W wersjach FreeSWITCH przed 1.11.1 występuje podatność, która pozwala na zdalne zablokowanie procesu FreeSWITCH poprzez wysłanie jednego nieautoryzowanego ramki WebSocket z głęboko zagnieżdżonym dokumentem JSON. Powoduje to przepełnienie stosu, co kończy wszystkie połączenia i sesje na hoście.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do zakłócenia działania usług telekomunikacyjnych, co prowadzi do przerwy w komunikacji i potencjalnych strat finansowych dla organizacji.
Rekomendacja
Zaleca się aktualizację do wersji FreeSWITCH 1.11.1 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
FreeSWITCH is a Software Defined Telecom Stack enabling the digital transformation from proprietary telecom switches to a software implementation that runs on any commodity hardware. Prior to version 1.11.1, a single unauthenticated WebSocket frame containing a deeply nested JSON document crashes the FreeSWITCH process via stack overflow, terminating all calls and sessions on the host. The recursion drives the worker thread's stack pointer into the stack guard page, raising SIGSEGV from the kernel before any usable write primitive develops. This issue has been patched in version 1.11.1.

