Contournement de l'authentification FreePBX exposé via un serveur Web mal configuré AUTHTYPE

The Hacker News - TheHackerNews - 15/12
FreePBX a corrigé 2025 failles permettant l'injection SQL, les attaques par téléchargement de fichiers et un contournement d'authentification uniquement lorsque le serveur Web AUTHTYPE était activé.

Plusieurs vulnérabilités de sécurité ont été divulguées dans la plate-forme open source d'échange de succursales privées (PBX) FreePBX, y compris une faille critique qui pourrait entraîner un contournement de l'authentification dans certaines configurations.

Les lacunes, découvertes par Horizon3.ai et signalées aux responsables du projet le 15 septembre 2025, sont répertoriées ci-dessous -

  • CVE-2025-61675 (score CVSS : 8,6) – Nombreuses vulnérabilités d'injection SQL authentifiées affectant quatre points de terminaison uniques (station de base, modèle, micrologiciel et extension personnalisée) et 11 paramètres affectés qui permettent un accès en lecture et en écriture à la base de données SQL sous-jacen...
    [Courte citation de 8% de l'article original]
Loading...