Se han revelado múltiples vulnerabilidades de seguridad en la plataforma de intercambio de sucursales privadas (PBX) de código franco FreePBX, incluida una rotura crítica que podría resultar en una omisión de autenticación en ciertas configuraciones.
Las deficiencias, descubiertas por Horizon3.ai e informadas a los mantenedores del plan el 15 de septiembre de 2025, se enumeran a continuación:
- CVE-2025-61675 (Puntuación CVSS: 8,6): numerosas vulnerabilidades de inyección SQL autenticadas que afectan a cuatro puntos finales únicos (fase colchoneta, maniquí, firmware y extensión personalizada) y 11 parámetros afectados que permiten el llegada de recitación y escritura a la colchoneta de datos SQL subyacente.
- CVE-2025-61678 (Puntuación CVSS: 8,6): una vulnerabilidad de carga de archivos arbitrarios autenticados que permite a un atacante explotar el punto final de carga de firmware para cargar un shell web PHP posteriormente de obtener un PHPSESSID válido y ejecutar comandos arbitrarios para filtrar el contenido de archivos confidenciales (por ejemplo, “/etc/passwd”)
- CVE-2025-66039 (Puntuación CVSS: 9,3): una vulnerabilidad de omisión de autenticación que se produce cuando el “Tipo de autorización” (asimismo conocido como AUTHTYPE) se establece en “servidor web”, lo que permite a un atacante iniciar sesión en el Panel de control del administrador a través de un encabezado de autorización falsificado.
Vale la pena mencionar aquí que la omisión de autenticación no es desvalido en la configuración predeterminada de FreePBX, poliedro que la opción “Tipo de autorización” solo se muestra cuando los tres títulos siguientes en los Detalles de configuración vanguardia están configurados en “Sí”:
- Mostrar nombre descriptivo
- Mostrar configuración de solo recitación y
- Anular la configuración de solo recitación
Sin secuestro, una vez que se cumple el requisito previo, un atacante podría remitir solicitudes HTTP diseñadas para eludir la autenticación e insertar un afortunado sagaz en la tabla de la colchoneta de datos “ampusers”, logrando efectivamente poco similar a CVE-2025-57819, otra rotura en FreePBX que se reveló que había sido explotada activamente en septiembre de 2025.
“Estas vulnerabilidades son fácilmente explotables y permiten a atacantes remotos autenticados o no autenticados obtener la ejecución remota de código en instancias FreePBX vulnerables”, dijo el investigador de seguridad de Horizon3.ai, Noah King, en un noticia publicado la semana pasada.
Los problemas se han abordado en las siguientes versiones:
- CVE-2025-61675 y CVE-2025-61678 – 16.0.92 y 17.0.6 (Corregido el 14 de octubre de 2025)
- CVE-2025-66039 – 16.0.44 y 17.0.23 (Fijado el 9 de diciembre de 2025)
Por otra parte, la opción de designar un proveedor de autenticación ahora se eliminó de la Configuración vanguardia y requiere que los usuarios la configuren manualmente a través de la cadeneta de comandos usando fwconsole. Como mitigaciones temporales, FreePBX ha recomendado que los usuarios establezcan “Tipo de autorización” en “administrador de usuarios”, establezcan “Anular configuración de solo recitación” en “No”, apliquen la nueva configuración y reinicien el sistema para desconectar cualquier sesión no autorizada.
“Si descubre que el servidor web AUTHTYPE se habilitó inadvertidamente, entonces debe analizar completamente su sistema en exploración de signos de posible compromiso”, decía.
A los usuarios asimismo se les muestra una advertencia en el panel de control, que indica que “servidor web” puede ofrecer seguridad limitada en comparación con “administrador de usuarios”. Para una protección óptima, se recomienda evitar el uso de este tipo de autenticación.
“Es importante tener en cuenta que el código desvalido subyacente todavía está presente y depende de las capas de autenticación anteriores para proporcionar seguridad y llegada a la instancia de FreePBX”, dijo King. “Aún requiere acontecer un encabezado de Autorización con un nombre de afortunado:contraseña elemental codificado en Base64”.
“Dependiendo del punto final, notamos que se requería un nombre de afortunado válido. En otros casos, como la carga del archivo compartido anteriormente, no se requiere un nombre de afortunado válido y se puede obtener la ejecución remota del código con unos pocos pasos, como se describe. Es una mejor ejercicio no utilizar el tipo de autenticación de servidor web, ya que parece ser código heredado”.
