FreePBX w wersjach 15, 16 i 17 zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu przejęcie pełnej kontroli nad panelem administratora. Luka jest aktywnie wykorzystywana w atakach i otrzymała maksymalny wynik CVSS 10.0.
▸ Pokaż oryginał (EN)
FreePBX is an open-source web-based graphical user interface. FreePBX 15, 16, and 17 endpoints are vulnerable due to insufficiently sanitized user-supplied data allowing unauthenticated access to FreePBX Administrator leading to arbitrary database manipulation and remote code execution. This issue has been patched in endpoint versions 15.0.66, 16.0.89, and 17.0.3.
Podatność wynika z niewystarczającego sanityzowania danych dostarczanych przez użytkownika (CWE-89 – SQL injection, CWE-288 – obejście mechanizmu uwierzytelnienia). Atakujący bez żadnych poświadczeń może wysłać spreparowane żądanie do endpointów FreePBX, uzyskując dostęp do panelu administratora. Następnie możliwe jest dowolne manipulowanie bazą danych oraz zdalne wykonanie kodu (RCE) na serwerze.
Atakujący może uzyskać pełną kontrolę nad systemem — od dowolnej modyfikacji bazy danych po zdalne wykonanie poleceń systemowych (RCE) na serwerze hostującym FreePBX.
Należy natychmiast zaktualizować FreePBX do wersji 15.0.66, 16.0.89 lub 17.0.3 w zależności od posiadanej gałęzi. Zgodnie z zaleceniami producenta należy również ograniczyć dostęp do interfejsu administratora FreePBX do zaufanych adresów IP (firewall, VPN lub ACL).
Sangoma FreePBX w wersjach 15, 16 oraz 17 (odpowiednio endpointy przed wersjami 15.0.66, 16.0.89 i 17.0.3).
Luka jest aktywnie exploitowana — potwierdzone przez CISA w katalogu KEV. Producent zaleca blokadę dostępu do interfejsu administratora do czasu wdrożenia patcha. Dostępny jest publiczny proof-of-concept opublikowany przez watchTowr Labs (github.com/watchtowrlabs).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XSangoma Freepbx
APPSangoma15.0 – 15.0.66 (bez)16.0 – 16.0.89 (bez)17.0 – 17.0.3 (bez)
CISA KEV — szczegółyi
- Dostawcai
- Sangoma
- Produkti
- FreePBX
- Data dodania do KEVi
- 29 sierpnia 2025
- Termin remediation (USA)i
- 19 września 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług cloud, lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Sangoma FreePBX zawiera lukę w autentykacji spowodowaną niewystarczającą sanityzacją danych dostarczonych przez użytkownika, co pozwala na nieautoryzowany dostęp do FreePBX Administrator, prowadzący do arbitralnej manipulacji bazą danych i zdalnego wykonania kodu.
▸ Pokaż oryginał (EN)
Sangoma FreePBX contains an authentication bypass vulnerability due to insufficiently sanitized user-supplied data allows unauthenticated access to FreePBX Administrator leading to arbitrary database manipulation and remote code execution.
Powiązane podatności
Sangoma FreePBX 115.0.16.26 and below, 14.0.13.11 and below, 13.0.197.13 and below have Incorrect Access Contr...
FreePBX UCP: dostęp bez uwierzytelnienia przez wbudowane dane logowania
FreePBX Endpoint Manager — pominięcie uwierzytelnienia (Auth Bypass)
FreePBX, when restapps (aka Rest Phone Apps) 15.0.19.87, 15.0.19.88, 16.0.18.40, or 16.0.18.41 is installed, a...
The restapps (aka Rest Phone apps) module for Sangoma FreePBX and PBXact 13, 14, and 15 through 15.0.19.2 allo...