Katalog CVE

CVE-2025-66039

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Moduł Endpoint Manager w systemach FreePBX jest podatny na obejście uwierzytelnienia, gdy typ uwierzytelnienia jest ustawiony na 'webserver'. Umożliwia to powiązanie sesji z docelowym użytkownikiem przy użyciu nagłówka Authorization z dowolną wartością, niezależnie od poprawnych poświadczeń.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do systemu telekomunikacyjnego, co może prowadzić do wycieku danych lub nieautoryzowanych działań w systemie.

Rekomendacja

Zaleca się aktualizację do wersji 16.0.44 lub 17.0.23, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

FreePBX Endpoint Manager is a module for managing telephony endpoints in FreePBX systems. Versions are vulnerable to authentication bypass when the authentication type is set to "webserver." When providing an Authorization header with an arbitrary value, a session is associated with the target user regardless of valid credentials. This issue is fixed in versions 16.0.44 and 17.0.23.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS