FreePBX Patches Critical SQLi, File-Upload, and AUTHTYPE Bypass Flaws Enabling RCE

1 minute de lecture

Mis à jour : December 15, 2025

FreePBX : Corrections de failles critiques ouvrant la porte à l’exécution de code à distance

Des vulnérabilités importantes ont été corrigées dans la plateforme PBX open-source FreePBX. Celles-ci incluent des injections SQL, un téléversement de fichiers arbitraire et une contournement d’authentification potentiellement critique.

Points Clés et Vulnérabilités :

CVE-2025-61675 (Score CVSS: 8.6) : Multiples vulnérabilités d’injection SQL (SQLi) affectant quatre points d’accès et onze paramètres. Permet une lecture et écriture sur la base de données SQL sous-jacente.
CVE-2025-61678 (Score CVSS: 8.6) : Vulnérabilité de téléversement arbitraire de fichiers (file upload) permettant à un attaquant d’injecter un web shell PHP et d’exécuter des commandes pour lire des fichiers sensibles (ex: /etc/passwd). Nécessite un PHPSESSID valide.
CVE-2025-66039 (Score CVSS: 9.3) : Vulnérabilité de contournement d’authentification (AUTHTYPE bypass) lorsque le type d’authentification est configuré sur “webserver”. Permet à un attaquant de se connecter au panneau d’administration via un en-tête d’autorisation falsifié. Cette faille n’est pas présente dans la configuration par défaut et nécessite des réglages spécifiques dans les paramètres avancés.

Ces failles peuvent être exploitées par des attaquants pour obtenir l’exécution de code à distance (RCE) sur les instances FreePBX vulnérables.

Recommandations :

Appliquer les mises à jour de sécurité disponibles :
- Pour CVE-2025-61675 et CVE-2025-61678 : versions 16.0.92 et 17.0.6 (corrigé le 14 octobre 2025).
- Pour CVE-2025-66039 : versions 16.0.44 et 17.0.23 (corrigé le 9 décembre 2025).
Mitigations temporaires recommandées :
- Configurer le “Authorization Type” sur “usermanager”.
- Définir “Override Readonly Settings” sur “No”.
- Appliquer la nouvelle configuration et redémarrer le système.
Vérifier attentivement le système à la recherche de compromissions si le type d’authentification “webserver” était activé.
Il est fortement déconseillé d’utiliser le type d’authentification “webserver”, car il est considéré comme du code hérité potentiellement moins sécurisé. Il est recommandé de le définir manuellement via la ligne de commande (fwconsole).

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

FreePBX Patches Critical SQLi, File-Upload, and AUTHTYPE Bypass Flaws Enabling RCE

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast