BDU:2025-15989

Опубликовано: 09 дек. 2025

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Средний

Описание

Уязвимость модуля Endpoint Manager веб-интерфейса управления системами IP-телефонии FreePBX связана с недостатками механизма аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к системе

Вендор

Sangoma Technologies Inc.

Наименование ПО

FreePBX

Версия ПО

до 16.0.44 (FreePBX)

до 17.0.23 (FreePBX)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)

Критический уровень опасности (оценка CVSS 4.0 составляет 9,3)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

- использование модуля User Manager для организации аутентификации для доступа к уязвимому программному обеспечению;

- использование средств межсетевого экранирования уровня веб-приложений (WAF) для фильтрации сетевого трафика;

- сегментирование сети для ограничения доступа к уязвимому программному обеспечению;

- использование SIEM-систем для отслеживания событий, связанных с изменением механизма аутентификации;

- ограничение доступа из внешних сетей (Интернет);

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:

Обновление программного обеспечения до версии 16.0.44 и выше;

Обновление программного обеспечения до версии 17.0.23 и выше;

https://github.com/FreePBX/security-reporting/security/advisories/GHSA-9jvh-mv6x-w698

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://github.com/FreePBX/security-reporting/security/advisories/GHSA-9jvh-mv6x-w698

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-66039
CVE

EPSS

Процентиль: 97%

0.31476

Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2025-66039

nvd

2 месяца назад

FreePBX Endpoint Manager is a module for managing telephony endpoints in FreePBX systems. Versions are vulnerable to authentication bypass when the authentication type is set to "webserver." When providing an Authorization header with an arbitrary value, a session is associated with the target user regardless of valid credentials. This issue is fixed in versions 16.0.44 and 17.0.23.