Исследователь Noah King из компании обнаружил серию серьезных уязвимостей в популярной платформе телефонии с открытым исходным кодом FreePBX. Информация о критических ошибках, позволяющих злоумышленникам реализовать удаленное выполнение кода (RCE), обход аутентификации, SQL-инъекции (SQLi) и несанкционированную загрузку файлов, была официально передана разработчикам 15 сентября 2025 года. Выявленные недостатки безопасности делают систему уязвимой как для аутентифицированных, так и для неаутентифицированных удаленных атак.
Первая уязвимость, получившая идентификатор CVE-2025-61675 и оценку 8.6 по шкале CVSS, классифицируется как аутентифицированная SQL-инъекция. Проблема затрагивает 11 параметров и распространяется на четыре уникальные конечные точки системы:
Вторая угроза с аналогичным рейтингом CVSS 8.6, зарегистрированная как CVE-2025-61678, позволяет аутентифицированным пользователям загружать произвольные файлы через эндпоинт обновления прошивки. Для реализации атаки злоумышленнику необходимо лишь получить действительный идентификатор сессии PHPSESSID, при этом знание корректного имени пользователя не требуется. Последствием такой атаки становится загрузка веб-оболочки PHP, выполнение произвольных команд и утечка системных файлов, таких как
Наивысший уровень опасности представляет уязвимость CVE-2025-66039 с оценкой CVSS выше 9 баллов. Это критический обход аутентификации (AUTHTYPE Bypass), связанный с типом авторизации «webserver». Корень проблемы кроется в устаревшем коде, который полагается на заголовок Authorization в формате Basic base64 encoded username:password. Эксперты отмечают, что данные бреши характеризуются как «легко эксплуатируемые».
Разработчики выпустили исправления в несколько этапов. Уязвимости CVE-2025-61675 и CVE-2025-61678 были устранены 14 октября 2025 года в версиях FreePBX 16.0.92 и 17.0.6. Патч для критического обхода аутентификации CVE-2025-66039 вышел 9 декабря 2025 года и содержится в версиях 16.0.44 и 17.0.23. Хотя уязвимый код технически остается в системе, обновленные механизмы защиты фронтенда блокируют векторы атаки.
В рамках усиления безопасности были внесены изменения в пользовательский интерфейс. Опция выбора провайдера аутентификации была удалена из раздела «Расширенные настройки» (Advanced Settings). Теперь администраторы должны настраивать провайдера вручную через командную строку с помощью утилиты
Для защиты инфраструктуры администраторам рекомендуется выполнить ряд действий: установить «Authorization Type» на значение «usermanager» и переключить параметр «Override Readonly Settings» в положение «No». После применения новой конфигурации необходимо перезагрузить систему, так как это является обязательным условием для отключения любых действующих мошеннических сессий.
Специалисты по безопасности подчеркивают важность пост-инцидентного анализа. Если в системе ранее был включен или использовался тип аутентификации «webserver» (AUTHTYPE), администраторы обязаны провести полную проверку на предмет компрометации. Существует вероятность, что злоумышленники могли воспользоваться «окном возможностей» до выхода обновлений для внедрения вредоносного кода или кражи данных.
Изображение носит иллюстративный характер
Первая уязвимость, получившая идентификатор CVE-2025-61675 и оценку 8.6 по шкале CVSS, классифицируется как аутентифицированная SQL-инъекция. Проблема затрагивает 11 параметров и распространяется на четыре уникальные конечные точки системы:
basestation, model, firmware и custom extension. Эксплуатация этого недостатка предоставляет атакующему возможность полного чтения и записи в базовую базу данных SQL, что ставит под угрозу конфиденциальность и целостность всех хранимых данных. Вторая угроза с аналогичным рейтингом CVSS 8.6, зарегистрированная как CVE-2025-61678, позволяет аутентифицированным пользователям загружать произвольные файлы через эндпоинт обновления прошивки. Для реализации атаки злоумышленнику необходимо лишь получить действительный идентификатор сессии PHPSESSID, при этом знание корректного имени пользователя не требуется. Последствием такой атаки становится загрузка веб-оболочки PHP, выполнение произвольных команд и утечка системных файлов, таких как
«/etc/passwd». Наивысший уровень опасности представляет уязвимость CVE-2025-66039 с оценкой CVSS выше 9 баллов. Это критический обход аутентификации (AUTHTYPE Bypass), связанный с типом авторизации «webserver». Корень проблемы кроется в устаревшем коде, который полагается на заголовок Authorization в формате Basic base64 encoded username:password. Эксперты отмечают, что данные бреши характеризуются как «легко эксплуатируемые».
Разработчики выпустили исправления в несколько этапов. Уязвимости CVE-2025-61675 и CVE-2025-61678 были устранены 14 октября 2025 года в версиях FreePBX 16.0.92 и 17.0.6. Патч для критического обхода аутентификации CVE-2025-66039 вышел 9 декабря 2025 года и содержится в версиях 16.0.44 и 17.0.23. Хотя уязвимый код технически остается в системе, обновленные механизмы защиты фронтенда блокируют векторы атаки.
В рамках усиления безопасности были внесены изменения в пользовательский интерфейс. Опция выбора провайдера аутентификации была удалена из раздела «Расширенные настройки» (Advanced Settings). Теперь администраторы должны настраивать провайдера вручную через командную строку с помощью утилиты
fwconsole. На информационной панели системы также появилось предупреждение, указывающее, что использование типа «webserver» обеспечивает меньшую безопасность по сравнению с «usermanager». Для защиты инфраструктуры администраторам рекомендуется выполнить ряд действий: установить «Authorization Type» на значение «usermanager» и переключить параметр «Override Readonly Settings» в положение «No». После применения новой конфигурации необходимо перезагрузить систему, так как это является обязательным условием для отключения любых действующих мошеннических сессий.
Специалисты по безопасности подчеркивают важность пост-инцидентного анализа. Если в системе ранее был включен или использовался тип аутентификации «webserver» (AUTHTYPE), администраторы обязаны провести полную проверку на предмет компрометации. Существует вероятность, что злоумышленники могли воспользоваться «окном возможностей» до выхода обновлений для внедрения вредоносного кода или кражи данных.
