Diversas vulnerabilidades de segurança foram reveladas na plataforma open source de Private Branch Exchange (PBX) FreePBX, incluindo uma falha crítica que pode permitir o bypass de autenticação em determinadas configurações.
As falhas foram descobertas pela Horizon3.ai e comunicadas aos mantenedores do projeto em 15 de setembro de 2025.
Entre os problemas detectados, destacam-se:
- **
CVE-2025-61675
(CVSS 8.6)**: múltiplas vulnerabilidades de SQL injection autenticado em quatro endpoints distintos (basestation, model, firmware e custom extension) e 11 parâmetros afetados, possibilitando acesso de leitura e escrita ao banco de dados SQL subjacente.
- **
CVE-2025-61678
(CVSS 8.6)**: vulnerabilidade de upload arbitrário de arquivos autenticada, que permite explorar o endpoint de upload de firmware para enviar um web shell PHP após obtenção de uma PHPSESSID válida, possibilitando a execução remota de comandos e o vazamento de arquivos sensíveis, como o “/etc/passwd”.
- **
CVE-2025-66039
(CVSS 9.3)**: falha de bypass de autenticação que ocorre quando o parâmetro “Authorization Type” (AUTHTYPE) está configurado como “webserver”, permitindo que um invasor acesse o painel administrativo com um cabeçalho Authorization forjado.
Vale destacar que a falha de bypass não é explorável na configuração padrão do FreePBX, pois a opção “Authorization Type” aparece somente quando três parâmetros em Advanced Settings Details estão ativados (“Yes”): Display Friendly Name, Display Readonly Settings e Override Readonly Settings.
No entanto, se esses pré-requisitos forem atendidos, um atacante pode enviar requisições HTTP manipuladas para contornar o sistema de autenticação e inserir um usuário malicioso na tabela “ampusers” do banco de dados — caso semelhante à vulnerabilidade
CVE-2025-57819
, que também foi explorada ativamente em ambiente real em setembro de 2025.
De acordo com o pesquisador de segurança Noah King, da Horizon3.ai, “essas vulnerabilidades são facilmente exploráveis e permitem que atacantes remotos, autenticados ou não, executem código remotamente em instâncias vulneráveis do FreePBX.”
As correções foram implementadas nas seguintes versões:
-
CVE-2025-61675
e
CVE-2025-61678
: versões 16.0.92 e 17.0.6 (atualizadas em 14 de outubro de 2025).
-
CVE-2025-66039
: versões 16.0.44 e 17.0.23 (atualizadas em 9 de dezembro de 2025).
Além disso, a possibilidade de escolher o provedor de autenticação foi removida das configurações avançadas, obrigando os usuários a definir essa opção manualmente via linha de comando com o fwconsole.
Como mitigação temporária, o FreePBX recomenda configurar o “Authorization Type” para “usermanager”, ajustar “Override Readonly Settings” para “No”, aplicar as mudanças e reiniciar o sistema para desconectar sessões suspeitas.
O alerta também é exibido no dashboard, informando que o uso do método “webserver” pode comprometer a segurança em comparação ao “usermanager”.
Para maior proteção, recomenda-se evitar essa configuração.
King ainda reforça que “o código vulnerável permanece no sistema, dependendo das camadas de autenticação para controlar o acesso ao FreePBX.
Apesar disso, alguns endpoints exigem um nome de usuário válido, enquanto outros, como o upload de arquivos, não, o que permite a execução remota de código com poucos passos.
O uso do tipo de autenticação ‘webserver’ deve ser evitado, pois se trata de código legado.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...