CVE-2026-46376
KrytyczneCVSS 9.8Streszczenie
FreePBX to otwarte oprogramowanie IP PBX. Użytkownicy nieautoryzowani mogą uzyskać dostęp do Panelu Sterowania Użytkownika (UCP) przy użyciu wbudowanych, początkowych danych logowania, jeśli administrator nie zmienił ich natychmiast po włączeniu UCP.
Ocena ryzyka
Ryzyko polega na tym, że nieautoryzowani użytkownicy mogą uzyskać dostęp do wrażliwych funkcji systemu, co może prowadzić do nieautoryzowanych zmian lub wycieków danych.
Rekomendacja
Zaleca się natychmiastową zmianę domyślnych danych logowania oraz aktualizację do wersji 16.0.45 lub 17.0.7, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
FreePBX is an open source IP PBX. From 15.0.42 to before 16.0.45 and 17.0.7, unauthenticated users may be able to access the User Control Panel (UCP) using hard-coded initial template credentials if these were not immediately changed by the Administrator who enabled UCP. Authenticated access to ACP is required for the initial setup of UCP generic templates, but after that, without further steps by the admin, unauthenticated users may be able to gain access. This vulnerability is fixed in 16.0.45 and 17.0.7.

