الثغرات ›

CVE-2026-44239

مرتفع

CWE-98 — نوع الضعف

                    نُشر: May 29, 2026                      ·  آخر تحديث: Jun 5, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

FreePBX is an open source IP PBX. Prior to 16.0.22 and 17.0.5, the Dashboard module's getcontent AJAX handler includes PHP files based on user-supplied input without path sanitization. The $_REQUEST['rawname'] parameter is concatenated into an include() call with a .class.php suffix, allowing path traversal via ../ sequences to include arbitrary .class.php files from the filesystem. The included file's PHP code executes before the subsequent class instantiation error occurs. This vulnerability is fixed in 16.0.22 and 17.0.5.

🤖 ملخص AI

FreePBX Dashboard module contains a path traversal vulnerability in the getcontent AJAX handler that allows unauthenticated attackers to include and execute arbitrary PHP files by manipulating the rawname parameter. This vulnerability affects versions prior to 16.0.22 and 17.0.5, enabling remote code execution on affected systems.

📄 الوصف (العربية)

تحتوي وحدة لوحة معلومات FreePBX على ثغرة اجتياز مسار في معالج AJAX getcontent حيث يتم تضمين ملفات PHP بناءً على مدخلات المستخدم دون تنظيف المسار. يسمح معامل $_REQUEST['rawname'] بتضمين ملفات .class.php عشوائية من نظام الملفات من خلال تسلسلات ../ مما يؤدي إلى تنفيذ التعليمات البرمجية عن بعد.

🤖 ملخص تنفيذي (AI)

وحدة لوحة معلومات FreePBX تحتوي على ثغرة اجتياز المسار التي تسمح للمهاجمين بتضمين وتنفيذ ملفات PHP عشوائية من خلال معالج AJAX getcontent. تؤثر هذه الثغرة على الإصدارات السابقة للإصدار 16.0.22 و17.0.5، مما يمكّن من تنفيذ التعليمات البرمجية عن بعد.

🤖 التحليل الذكي آخر تحليل: Jun 3, 2026 12:16

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

telecom government banking

🎯 تقنيات MITRE ATT&CK

T1190 T1059 T1083 T1105 T1078

⚖️ درجة المخاطر السعودية (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade FreePBX to version 16.0.22 or 17.0.5 or later immediately. Implement input validation and path sanitization for the rawname parameter. Restrict access to the Dashboard module AJAX handlers using firewall rules and network segmentation. Monitor for suspicious file inclusion attempts in web server logs.

🔧 خطوات المعالجة (العربية)

قم بترقية FreePBX إلى الإصدار 16.0.22 أو 17.0.5 أو أحدث على الفور. طبق التحقق من صحة المدخلات وتنظيف المسار لمعامل rawname. قيد الوصول إلى معالجات AJAX لوحة المعلومات باستخدام قواعد جدار الحماية. راقب محاولات تضمين الملفات المريبة في سجلات خادم الويب.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A1 A2 A3 A4 A5

🔵 SAMA CSF

ID.BE-1 PR.AC-1 PR.AC-3 PR.AC-6 PR.DS-1 DE.CM-1

🟡 ISO 27001:2022

A.6.1.1 A.9.1.1 A.9.2.1 A.9.4.3 A.13.1.1 A.14.1.1

🔗 المراجع والمصادر 1

🔗

https://github.com/FreePBX/security-reporting/security/advisories/GHSA-hw7v-v2jp-wc4v

security-advisories@github.com

Mitigation Vendor Advisory

📦 المنتجات المتأثرة 2 منتج

sangoma:freepbx

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-98

EPSS0.05%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-29

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

9.0

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

CWE-98

🏢 توجيهات البائع

🔗 https://github.com/FreePBX/security-reporting/securi...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-44239

عرّفنا بنفسك

تسجيل الدخول مطلوب