Vulnerabilità nel software FreePBX: bypass di autenticazione e esecuzione di codice remoto

Sono state scoperte diverse vulnerabilità nel software open-source FreePBX, una piattaforma di private branch exchange (PBX). Tra queste, una vulnerabilità critica può consentire un bypass di autenticazione in determinate configurazioni. Le vulnerabilità sono state scoperte da Horizon3.ai e segnalate ai maintainer del progetto il 15 settembre 2025.

Le vulnerabilità includono: CVE-2025-61675, che consente iniezioni SQL autenticate; CVE-2025-61678, che consente l’upload di file arbitrari; e CVE-2025-66039, che consente un bypass di autenticazione quando il tipo di autenticazione è impostato su “webserver”. Quest’ultima vulnerabilità non è vulnerabile nella configurazione predefinita di FreePBX, ma può essere sfruttata se vengono soddisfatte determinate condizioni.

Le vulnerabilità sono state risolte nelle versioni 16.0.92 e 17.0.6 per CVE-2025-61675 e CVE-2025-61678, e nelle versioni 16.0.44 e 17.0.23 per CVE-2025-66039. Inoltre, l’opzione per scegliere un provider di autenticazione è stata rimossa dalle impostazioni avanzate e ora richiede di essere impostata manualmente tramite la riga di comando. Gli utenti sono consigliati di impostare il tipo di autenticazione su “usermanager” e di riavviare il sistema per disconnettere eventuali sessioni rogue.

È importante notare che il codice vulnerabile sottostante è ancora presente e si affida ai layer di autenticazione per fornire sicurezza e accesso alla istanza FreePBX. Pertanto, è consigliabile evitare di utilizzare il tipo di autenticazione “webserver” e di utilizzare invece il tipo “usermanager” per una maggiore sicurezza. Gli utenti sono inoltre invitati a verificare se il tipo di autenticazione “webserver” è stato abilitato involontariamente e a controllare il sistema per eventuali segni di compromissione.