CVE-2025-66039
KrytyczneStreszczenie
Moduł Endpoint Manager w systemach FreePBX jest podatny na obejście uwierzytelnienia, gdy typ uwierzytelnienia jest ustawiony na 'webserver'. Umożliwia to powiązanie sesji z docelowym użytkownikiem przy użyciu nagłówka Authorization z dowolną wartością, niezależnie od poprawnych poświadczeń.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do systemu telekomunikacyjnego, co może prowadzić do wycieku danych lub nieautoryzowanych działań w systemie.
Rekomendacja
Zaleca się aktualizację do wersji 16.0.44 lub 17.0.23, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
FreePBX Endpoint Manager is a module for managing telephony endpoints in FreePBX systems. Versions are vulnerable to authentication bypass when the authentication type is set to "webserver." When providing an Authorization header with an arbitrary value, a session is associated with the target user regardless of valid credentials. This issue is fixed in versions 16.0.44 and 17.0.23.

