聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
开源的 PBX 平台 FreePBX 上存在多个漏洞,其中一个严重漏洞在某些配置下课导致认证绕过漏洞。
这些漏洞由 Horizon3.ai 团队发现并在2025年9月15日报送给项目维护人员。这些漏洞如下:
CVE-2025-61675(CVSS评分8.6):FreePBX终端管理模块中存在多个SQL注入漏洞,影响以下配置功能区域中的多个参数:基站设置、型号设置、固件设置、自定义分机设置。利用此该漏洞需通过已知有效的用户名凭证进行身份认证。
CVE-2025-61678(CVSS评分8.6):认证的任意文件上传漏洞,可导致攻击者利用固件上传端点在获得有效的PHPSESSID后上传 PHP web shell,并运行任意命令,泄露敏感文件的内容(例如 “/etc/passwd”)。
CVE-2025-66039(CVSS评分:9.3):认证绕过漏洞,当“授权类型”(即 AUTHTYPE)设置为 “webserver”时会触发,可导致攻击者通过一个伪造的Authorization 标头登录到管理员控制台。
值得注意的是,该认证绕过漏洞在FreePBX的默认配置下不可利用,因为仅当高级设置中的以下三项值均设为“是”时才会显示“认证类型”选项:
显示友好姓名
显示只读设置,以及
覆写只读设置
然而,一旦满足上述前提条件,攻击者便能通过构造特定HTTP请求绕过认证机制,将恶意用户插入 “ampusers” 数据库表中,其效果与CVE-2025-57819(2025年9月披露的另一个已遭在野利用的FreePBX漏洞)高度相似。
Horizon3.ai团队安全研究员Noah King在上周发布的报告中指出:“这些漏洞极易被利用,可允许经过认证或未经认证的远程攻击者在受影响的FreePBX实例上实现远程代码执行。”
相关漏洞已在以下版本中修复:
CVE-2025-61675 与 CVE-2025-61678:16.0.92与17.0.6版本(2025年10月14日修复)
CVE-2025-66039:16.0.44与17.0.23版本(2025年12月9日修复)
此外,高级设置中的认证提供程序选项现已被移除,用户需通过命令行工具fwconsole手动配置。作为临时缓解措施,FreePBX建议用户:将“认证类型”设置为“usermanager”、将“覆盖只读设置”设为“否”、应用新配置并重启系统以断开所有异常会话。FreePBX强调称:“若发现web服务器认证类型被意外启用,应立即全面排查系统可能存在的入侵迹象。”
用户登录仪表板时也会看到安全警告,提示“webserver”认证类型相比“usermanager” 可能存在安全性降低的风险。为获得最佳防护效果,建议避免使用该认证类型。King进一步表示:“需要特别注意的是,存在漏洞的底层代码仍然存在,其安全性依赖于前置认证层来保护FreePBX实例的访问权限。攻击仍需在Authorization请求头中携带经过Base64编码的用户名和密码凭证。根据具体接口的不同,我们注意到部分端点需要有效用户名。而在其它情况(如前述文件上传漏洞)中,无需有效用户名即可通过几个步骤实现远程代码执行。最佳实践是避免使用‘webserver’认证类型,这似乎是遗留代码中的安全隐患。”
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
FreePBX服务器紧急修复已遭利用0day
用AI攻击AI:Ray AI开源框架中的老旧漏洞被用于攻击集群
《中国开源发展深度报告(2024)》发布,奇安信聚焦开源安全参与编制
开源项目mcp-remote 中存在严重漏洞可导致RCE
原文链接
https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-day-flaws-exploited-in-sophisticated-attacks/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
