الثغرات ›

CVE-2026-44237

مرتفع

CWE-1390 — نوع الضعف

                    نُشر: May 29, 2026                      ·  آخر تحديث: Jun 5, 2026                      ·  المصدر: NVD                

CVSS v3

8.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

FreePBX is an open source IP PBX. Prior to 17.0.8, the FreePBX api module's OAuth2 implementation does not sufficiently validate client credentials during token issuance. Knowledge of a valid client_id is required. The validateClient() method in ClientRepository.php unconditionally returns true, allowing any party with knowledge of a valid client_id to obtain OAuth2 access tokens without providing the correct client_secret. This vulnerability is fixed in 17.0.8.

🤖 ملخص AI

FreePBX versions prior to 17.0.8 contain an OAuth2 authentication bypass vulnerability in the API module where the validateClient() method fails to properly validate client credentials. An attacker with knowledge of a valid client_id can obtain access tokens without providing the correct client_secret, potentially gaining unauthorized access to PBX systems.

📄 الوصف (العربية)

يحتوي FreePBX على ثغرة في وحدة OAuth2 API حيث تفشل طريقة validateClient() في التحقق الصحيح من بيانات اعتماد العميل. يمكن لأي طرف لديه معرفة بـ client_id صحيح الحصول على رموز الوصول دون تقديم client_secret الصحيح. تؤثر هذه الثغرة على جميع إصدارات FreePBX قبل 17.0.8.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: Jun 3, 2026 12:19

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

telecom government banking

🎯 تقنيات MITRE ATT&CK

T1110.001 T1078.004 T1550.001

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade FreePBX to version 17.0.8 or later immediately. If immediate upgrade is not possible, disable the OAuth2 API module and implement network-level access controls to restrict API endpoint access to trusted IP addresses only. Review and rotate all OAuth2 client credentials and audit access logs for unauthorized token issuance.

🔧 خطوات المعالجة (العربية)

قم بترقية FreePBX إلى الإصدار 17.0.8 أو أحدث على الفور. إذا لم يكن الترقية الفورية ممكنة، قم بتعطيل وحدة OAuth2 API وتطبيق عناصر تحكم على مستوى الشبكة لتقييد الوصول إلى نقاط نهاية API للعناوين الموثوقة فقط. راجع وأعد تعيين جميع بيانات اعتماد عميل OAuth2 وتدقيق سجلات الوصول للتحقق من إصدار الرموز غير المصرح به.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.2.1 5.2.2

🔵 SAMA CSF

ID.AM-2 PR.AC-1 PR.AC-6

🟡 ISO 27001:2022

A.9.2.1 A.9.4.3 A.14.2.1

🔗 المراجع والمصادر 1

🔗

https://github.com/FreePBX/security-reporting/security/advisories/GHSA-vgjf-4h63-8vcc

security-advisories@github.com

Mitigation Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

sangoma:freepbx

📊 CVSS Score

8.1

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.1

CWECWE-1390

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-29

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-1390

🏢 توجيهات البائع

🔗 https://github.com/FreePBX/security-reporting/securi...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-44237

عرّفنا بنفسك

تسجيل الدخول مطلوب