CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-66039

Critical
Published: Translated: NVD NIST

Summary

Moduł Endpoint Manager w systemach FreePBX jest podatny na obejście uwierzytelnienia, gdy typ uwierzytelnienia jest ustawiony na 'webserver'. Umożliwia to powiązanie sesji z docelowym użytkownikiem przy użyciu nagłówka Authorization z dowolną wartością, niezależnie od poprawnych poświadczeń.

Risk Assessment

Organizacja może być narażona na nieautoryzowany dostęp do systemu telekomunikacyjnego, co może prowadzić do wycieku danych lub nieautoryzowanych działań w systemie.

Recommendation

Zaleca się aktualizację do wersji 16.0.44 lub 17.0.23, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.

Original NVD description (English source)

FreePBX Endpoint Manager is a module for managing telephony endpoints in FreePBX systems. Versions are vulnerable to authentication bypass when the authentication type is set to "webserver." When providing an Authorization header with an arbitrary value, a session is associated with the target user regardless of valid credentials. This issue is fixed in versions 16.0.44 and 17.0.23.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS