CVE-2025-66039
CriticalSummary
Moduł Endpoint Manager w systemach FreePBX jest podatny na obejście uwierzytelnienia, gdy typ uwierzytelnienia jest ustawiony na 'webserver'. Umożliwia to powiązanie sesji z docelowym użytkownikiem przy użyciu nagłówka Authorization z dowolną wartością, niezależnie od poprawnych poświadczeń.
Risk Assessment
Organizacja może być narażona na nieautoryzowany dostęp do systemu telekomunikacyjnego, co może prowadzić do wycieku danych lub nieautoryzowanych działań w systemie.
Recommendation
Zaleca się aktualizację do wersji 16.0.44 lub 17.0.23, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.
Original NVD description (English source)
FreePBX Endpoint Manager is a module for managing telephony endpoints in FreePBX systems. Versions are vulnerable to authentication bypass when the authentication type is set to "webserver." When providing an Authorization header with an arbitrary value, a session is associated with the target user regardless of valid credentials. This issue is fixed in versions 16.0.44 and 17.0.23.

