Aktywnie wykorzystywana w atakach
Sangoma FreePBX Authentication Bypass Vulnerability
Sangoma — FreePBX · Figuruje w katalogu CISA KEV od 2025-08-29. Oznacza to potwierdzone ataki w środowisku produkcyjnym.
Wymagane działanie: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
CVE-2025-57819
KrytyczneCVSS 9.8KEVPrawdopodobieństwo exploitacji (EPSS)
Bardzo wysokie ryzykoPercentyl 100 — wyżej niż 100% wszystkich znanych CVE
Streszczenie
FreePBX, otwartoźródłowy interfejs graficzny, ma luki w wersjach 15, 16 i 17, które wynikają z niewystarczającego oczyszczania danych dostarczanych przez użytkowników. Umożliwia to nieautoryzowany dostęp do administratora FreePBX, co prowadzi do manipulacji bazą danych i zdalnego wykonania kodu.
Ocena ryzyka
Organizacje mogą być narażone na poważne zagrożenia, w tym nieautoryzowany dostęp do systemu oraz możliwość zdalnego wykonania złośliwego kodu, co może prowadzić do utraty danych lub kompromitacji systemu.
Rekomendacja
Zaleca się aktualizację do wersji 15.0.66, 16.0.89 lub 17.0.3, aby usunąć tę podatność oraz zapewnić odpowiednie zabezpieczenia systemu.
Oryginalny opis (angielski, źródło NVD)
FreePBX is an open-source web-based graphical user interface. FreePBX 15, 16, and 17 endpoints are vulnerable due to insufficiently sanitized user-supplied data allowing unauthenticated access to FreePBX Administrator leading to arbitrary database manipulation and remote code execution. This issue has been patched in endpoint versions 15.0.66, 16.0.89, and 17.0.3.

