Vulnerabilities ›

CVE-2026-44238

High

CWE-89 — Weakness Type

                    Published: May 29, 2026                      ·  Modified: Jun 5, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

FreePBX is an open source IP PBX. Prior to 16.0.50 and 17.0.11, the CDR Reports module page allows SQL injection through the order and sort POST parameters. Authentication with a FreePBX Administration Control Panel account that has CDR section access is required. Full administrator privileges are not needed. This vulnerability is fixed in 16.0.50 and 17.0.11.

🤖 AI Executive Summary

FreePBX CDR Reports module contains SQL injection vulnerability in order and sort POST parameters affecting versions before 16.0.50 and 17.0.11. Authenticated users with CDR section access can exploit this to compromise database integrity and extract sensitive data.

📄 Description (Arabic)

ثغرة حقن SQL في وحدة تقارير CDR بـ FreePBX تسمح للمستخدمين المصرح لهم بتنفيذ استعلامات SQL عشوائية عبر معاملات الترتيب والفرز. يمكن للمهاجمين الوصول إلى بيانات حساسة مثل سجلات المكالمات وبيانات المستخدمين وتعديل قاعدة البيانات. لا تتطلب الاستفادة من هذه الثغرة امتيازات مسؤول كامل، مما يزيد من خطر التعرض.

🤖 ملخص تنفيذي (AI)

وحدة تقارير CDR في FreePBX تحتوي على ثغرة حقن SQL في معاملات POST للترتيب والفرز تؤثر على الإصدارات السابقة للإصدار 16.0.50 و17.0.11. يمكن للمستخدمين المصرح لهم بالوصول إلى قسم CDR استغلال هذا للتأثير على سلامة قاعدة البيانات واستخراج البيانات الحساسة.

🤖 AI Intelligence Analysis Analyzed: Jun 3, 2026 12:16

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

telecom government banking

🎯 MITRE ATT&CK Techniques

T1190 T1110 T1078 T1005

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade FreePBX to version 16.0.50 or 17.0.11 or later immediately. Restrict CDR section access to trusted administrators only. Implement input validation and parameterized queries. Monitor database logs for suspicious SQL patterns. Apply principle of least privilege for user accounts with CDR access.

🔧 خطوات المعالجة (العربية)

قم بترقية FreePBX إلى الإصدار 16.0.50 أو 17.0.11 أو أحدث فوراً. قيد الوصول إلى قسم CDR للمسؤولين الموثوقين فقط. طبق التحقق من صحة المدخلات والاستعلامات المعاملة. راقب سجلات قاعدة البيانات للأنماط SQL المريبة. طبق مبدأ أقل امتياز للحسابات التي تحتوي على وصول CDR.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.7.1.2 A.12.2.1 A.14.2.1

🔵 SAMA CSF

ID.GV-3 PR.AC-1 PR.DS-2

🟡 ISO 27001:2022

A.6.1.1 A.9.2.1 A.12.4.1 A.14.2.1

🔗 References & Sources 1

🔗

https://github.com/FreePBX/security-reporting/security/advisories/GHSA-p9fq-fmpw-2h9x

security-advisories@github.com

Mitigation Vendor Advisory

📦 Affected Products / CPE 2 entries

sangoma:freepbx

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-89

EPSS0.06%

Exploit No

Patch ✗ No

Published 2026-05-29

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-89

🏢 Vendor Advisories

🔗 https://github.com/FreePBX/security-reporting/securi...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-44238

Introduce Yourself

Sign In Required