Se han revelado múltiples vulnerabilidades de seguridad en la plataforma de intercambio de sucursales privadas (PBX) de código abierto FreePBX, incluida una falla crítica que podría conducir a una omisión de autenticación en ciertas configuraciones.
Las deficiencias descubiertas por Horizon3.ai e informadas al administrador del proyecto el 15 de septiembre de 2025 son las siguientes:
CVE-2025-61675 (Puntuación CVSS: 8,6): numerosas vulnerabilidades de inyección SQL autenticadas que afectan a 4 puntos finales únicos (estación base, modelo, firmware, extensiones personalizadas) y 11 parámetros afectados que permiten el acceso de lectura y escritura a la base de datos SQL subyacente. CVE-2025-61678 (Puntuación CVSS: 8,6) – La vulnerabilidad de carga de archivos arbitrarios autenticados permite al atacante Explotar el punto final de carga de firmware para cargar un shell web PHP después de obtener un PHPSESSID válido y ejecutar comandos arbitrarios para filtrar el contenido de archivos confidenciales (por ejemplo, «/etc/passwd») CVE-2025-66039 (Puntuación CVSS: 9.3) – «Tipo de autenticación» (también conocido como AUTHTYPE) Una vulnerabilidad de omisión de autenticación que se produce cuando «servidor web» está configurado en «servidor web» y permite a un atacante iniciar sesión en el panel de control del administrador. Encabezado de autorización falsificado
Vale la pena mencionar aquí que la configuración predeterminada de FreePBX no es vulnerable a la omisión de autenticación, ya que la opción «Tipo de autenticación» solo aparece si los siguientes tres valores están configurados en «Sí» en los detalles de configuración avanzada:
Mostrar nombres descriptivos Mostrar configuraciones de solo lectura y anular configuraciones de solo lectura
Sin embargo, una vez que se cumplen las condiciones previas, un atacante podría enviar una solicitud HTTP diseñada para evitar la autenticación e insertar un usuario malintencionado en la tabla de la base de datos «ampusers», logrando efectivamente algo similar a CVE-2025-57819, otra falla de FreePBX que se reveló que estaba explotada activamente en septiembre de 2025.
«Estas vulnerabilidades pueden explotarse fácilmente y permitir que un atacante remoto autenticado o no autenticado ejecute código de forma remota en una instancia FreePBX vulnerable», dijo el investigador de seguridad de Horizon3.ai, Noah King, en un informe publicado la semana pasada.
Este problema se resuelve en las siguientes versiones:
CVE-2025-61675 y CVE-2025-61678 – 16.0.92 y 17.0.6 (corregido el 14 de octubre de 2025) CVE-2025-66039 – 16.0.44 y 17.0.23 (corregido el 9 de diciembre de 2025)
Además, la opción de seleccionar un proveedor de autenticación se eliminó de la configuración avanzada y los usuarios deben configurarla manualmente desde la línea de comando usando fwconsole. Como mitigación temporal, FreePBX recomienda que los usuarios establezcan «Tipo de autenticación» en «administrador de usuarios», «Anular configuración de solo lectura» en «No», apliquen la nueva configuración y reinicien el sistema para desconectar la sesión no autorizada.
«Si descubre que AUTHTYPE se ha habilitado inadvertidamente en su servidor web, debe analizar minuciosamente su sistema en busca de signos de posible compromiso», dijo la revista.
Además, el panel del usuario mostrará una advertencia de que «servidor web» puede ser menos seguro que «administrador de usuarios». Para una mejor protección, le recomendamos que evite el uso de este tipo de autenticación.
«Es importante tener en cuenta que el código vulnerable subyacente todavía está presente y depende de la capa de autenticación frontal para brindar seguridad y acceso a la instancia de FreePBX», dijo King. «Debe pasar un encabezado de Autorización que contenga un nombre de usuario:contraseña codificado en Base64 básico».
«He descubierto que algunos puntos finales requieren un nombre de usuario válido. Otros casos, como la carga de archivos que compartí anteriormente, no requieren un nombre de usuario válido. Como se explicó, la ejecución remota de código se puede lograr en unos pocos pasos. Los servidores web de tipo autenticación parecen ser código heredado, por lo que recomiendo no usarlos».
Source link
