Er zijn meerdere beveiligingskwetsbaarheden onthuld in het open-source private branch exchange (PBX)-platform FreePBX, waaronder een kritieke fout die onder bepaalde configuraties zou kunnen resulteren in een authenticatie-bypass.
De tekortkomingen, ontdekt door Horizon3.ai en gerapporteerd aan de projectbeheerders op 15 september 2025, worden hieronder opgesomd:
- CVE-2025-61675 (CVSS-score: 8,6) – Talrijke geverifieerde SQL-injectiekwetsbaarheden die van invloed zijn op vier unieke eindpunten (basisstation, model, firmware en aangepaste extensie) en 11 getroffen parameters die lees- en schrijftoegang tot de onderliggende SQL-database mogelijk maken
- CVE-2025-61678 (CVSS-score: 8,6) – Een geverifieerde kwetsbaarheid voor het uploaden van willekeurige bestanden waarmee een aanvaller het firmware-upload-eindpunt kan misbruiken om een PHP-webshell te uploaden na het verkrijgen van een geldige PHPSESSID en willekeurige opdrachten kan uitvoeren om de inhoud van gevoelige bestanden te lekken (bijv. “/etc/passwd”)
- CVE-2025-66039 (CVSS-score: 9,3) – Een kwetsbaarheid voor het omzeilen van authenticatie die optreedt wanneer het “Authorization Type” (ook wel AUTHTYPE genoemd) is ingesteld op “webserver”, waardoor een aanvaller zich kan aanmelden bij het beheerdersdashboard via een vervalste Authorization-header
Het is de moeite waard hier te vermelden dat het omzeilen van de authenticatie niet kwetsbaar is in de standaardconfiguratie van FreePBX, aangezien de optie “Authorisatietype” alleen wordt weergegeven als de drie volgende waarden in de Geavanceerde instellingen zijn ingesteld op “Ja”:
- Beschrijvende naam weergeven
- Alleen-lezen-instellingen weergeven, en
- Alleen-lezen instellingen overschrijven
Zodra echter aan de vereiste is voldaan, kan een aanvaller kunstmatige HTTP-verzoeken verzenden om authenticatie te omzeilen en een kwaadwillende gebruiker in de databasetabel “ampusers” te plaatsen, waarmee feitelijk iets wordt bereikt dat lijkt op CVE-2025-57819, een andere fout in FreePBX waarvan werd onthuld dat deze in september 2025 actief in het wild werd uitgebuit.
“Deze kwetsbaarheden zijn gemakkelijk te exploiteren en stellen geauthenticeerde/niet-geauthenticeerde externe aanvallers in staat om code op afstand uit te voeren op kwetsbare FreePBX-instanties”, zei Horizon3.ai-beveiligingsonderzoeker Noah King in een vorige week gepubliceerd rapport.
De problemen zijn verholpen in de volgende versies:
- CVE-2025-61675 En CVE-2025-61678 – 16.0.92 en 17.0.6 (vastgesteld op 14 oktober 2025)
- CVE-2025-66039 – 16.0.44 en 17.0.23 (vastgesteld op 9 december 2025)
Bovendien is de optie om een authenticatieprovider te kiezen nu verwijderd uit Geavanceerde instellingen en moeten gebruikers deze handmatig instellen via de opdrachtregel met behulp van fwconsole. Als tijdelijke oplossing heeft FreePBX gebruikers aanbevolen “Authorisatietype” in te stellen op “usermanager”, “Alleen-lezen instellingen overschrijven” op “Nee”, de nieuwe configuratie toe te passen en het systeem opnieuw op te starten om eventuele frauduleuze sessies te verbreken.
“Als u ontdekt dat de webserver AUTHTYPE onbedoeld is ingeschakeld, moet u uw systeem volledig analyseren op tekenen van mogelijk compromis”, aldus het rapport.
Gebruikers krijgen ook een waarschuwing op het dashboard te zien waarin staat dat ‘webserver’ mogelijk minder beveiliging biedt in vergelijking met ‘usermanager’. Voor optimale bescherming wordt het gebruik van dit authenticatietype afgeraden.
“Het is belangrijk op te merken dat de onderliggende kwetsbare code nog steeds aanwezig is en afhankelijk is van authenticatielagen aan de voorkant om beveiliging en toegang tot de FreePBX-instantie te bieden”, aldus King. “Het vereist nog steeds het doorgeven van een Authorization-header met een Basic base64-gecodeerde gebruikersnaam:wachtwoord.”
“Afhankelijk van het eindpunt merkten we dat een geldige gebruikersnaam vereist was. In andere gevallen, zoals bij het uploaden van bestanden hierboven, is een geldige gebruikersnaam niet vereist en kun je met een paar stappen externe code uitvoeren, zoals beschreven. Het is het beste om de webserver van het authenticatietype niet te gebruiken, omdat dit een verouderde code lijkt te zijn.”
