FreePBX is an open source IP PBX. Prior to 16.0.50 and 17.0.11, the CDR Reports module page allows SQL injection through the order and sort POST parameters. Authentication with a FreePBX Administration Control Panel account that has CDR section access is required. Full administrator privileges are not needed. This vulnerability is fixed in 16.0.50 and 17.0.11.
FreePBX CDR Reports module contains SQL injection vulnerability in order and sort POST parameters affecting versions before 16.0.50 and 17.0.11. Authenticated users with CDR section access can exploit this to compromise database integrity and extract sensitive data.
ثغرة حقن SQL في وحدة تقارير CDR بـ FreePBX تسمح للمستخدمين المصرح لهم بتنفيذ استعلامات SQL عشوائية عبر معاملات الترتيب والفرز. يمكن للمهاجمين الوصول إلى بيانات حساسة مثل سجلات المكالمات وبيانات المستخدمين وتعديل قاعدة البيانات. لا تتطلب الاستفادة من هذه الثغرة امتيازات مسؤول كامل، مما يزيد من خطر التعرض.
وحدة تقارير CDR في FreePBX تحتوي على ثغرة حقن SQL في معاملات POST للترتيب والفرز تؤثر على الإصدارات السابقة للإصدار 16.0.50 و17.0.11. يمكن للمستخدمين المصرح لهم بالوصول إلى قسم CDR استغلال هذا للتأثير على سلامة قاعدة البيانات واستخراج البيانات الحساسة.
Upgrade FreePBX to version 16.0.50 or 17.0.11 or later immediately. Restrict CDR section access to trusted administrators only. Implement input validation and parameterized queries. Monitor database logs for suspicious SQL patterns. Apply principle of least privilege for user accounts with CDR access.
قم بترقية FreePBX إلى الإصدار 16.0.50 أو 17.0.11 أو أحدث فوراً. قيد الوصول إلى قسم CDR للمسؤولين الموثوقين فقط. طبق التحقق من صحة المدخلات والاستعلامات المعاملة. راقب سجلات قاعدة البيانات للأنماط SQL المريبة. طبق مبدأ أقل امتياز للحسابات التي تحتوي على وصول CDR.