Katalog CVE

Aktywnie wykorzystywana w atakach

Sangoma FreePBX OS Command Injection Vulnerability

Sangoma — FreePBX · Figuruje w katalogu CISA KEV od 2026-02-03. Oznacza to potwierdzone ataki w środowisku produkcyjnym.

Wymagane działanie: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

CVE-2025-64328

WysokieCVSS 7.2KEV
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Bardzo wysokie ryzyko
82.96%

Percentyl 100 — wyżej niż 100% wszystkich znanych CVE

Streszczenie

Moduł Endpoint Manager w FreePBX, w wersjach 17.0.2.36 i wyższych przed 17.0.3, jest podatny na wstrzyknięcie poleceń po uwierzytelnieniu przez znanego użytkownika. Atakujący może wykorzystać tę podatność do uzyskania zdalnego dostępu do systemu jako użytkownik asterisk.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do systemu telekomunikacyjnego, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 17.0.3 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

FreePBX Endpoint Manager is a module for managing telephony endpoints in FreePBX systems. In versions 17.0.2.36 and above before 17.0.3, the filestore module within the Administrative interface is vulnerable to a post-authentication command injection by an authenticated known user via the testconnection -> check_ssh_connect() function. An attacker can leverage this vulnerability to obtain remote access to the system as an asterisk user. This issue is fixed in version 17.0.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS