Katalog CVE

Aktywnie wykorzystywana w atakach

Sangoma FreePBX Authentication Bypass Vulnerability

Sangoma — FreePBX · Figuruje w katalogu CISA KEV od 2025-08-29. Oznacza to potwierdzone ataki w środowisku produkcyjnym.

Wymagane działanie: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

CVE-2025-57819

KrytyczneCVSS 9.8KEV
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Bardzo wysokie ryzyko
87.36%

Percentyl 100 — wyżej niż 100% wszystkich znanych CVE

Streszczenie

FreePBX, otwartoźródłowy interfejs graficzny, ma luki w wersjach 15, 16 i 17, które wynikają z niewystarczającego oczyszczania danych dostarczanych przez użytkowników. Umożliwia to nieautoryzowany dostęp do administratora FreePBX, co prowadzi do manipulacji bazą danych i zdalnego wykonania kodu.

Ocena ryzyka

Organizacje mogą być narażone na poważne zagrożenia, w tym nieautoryzowany dostęp do systemu oraz możliwość zdalnego wykonania złośliwego kodu, co może prowadzić do utraty danych lub kompromitacji systemu.

Rekomendacja

Zaleca się aktualizację do wersji 15.0.66, 16.0.89 lub 17.0.3, aby usunąć tę podatność oraz zapewnić odpowiednie zabezpieczenia systemu.

Oryginalny opis (angielski, źródło NVD)

FreePBX is an open-source web-based graphical user interface. FreePBX 15, 16, and 17 endpoints are vulnerable due to insufficiently sanitized user-supplied data allowing unauthenticated access to FreePBX Administrator leading to arbitrary database manipulation and remote code execution. This issue has been patched in endpoint versions 15.0.66, 16.0.89, and 17.0.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS