PT-2024-35778 · Freepbx · Freepbx
Hyp164D1
·
Publicado
2024-12-02
·
Atualizado
2025-09-23
·
CVE-2024-53564
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
FreePBX versão 17.0.19.17
Descrição
Foi descoberta uma vulnerabilidade no FreePBX que permite que administradores com privilégios elevados insiram arquivos indesejados devido à falta de verificação do tipo dos arquivos enviados. Esse problema pode ser explorado para a execução remota de código. A vulnerabilidade requer autenticação, o que pode diminuir sua prioridade, mas ainda assim precisa ser corrigida.
Recomendações
Para a versão 17.0.19.17 do FreePBX, aplique a correção imediatamente e verifique se há conteúdo malicioso nos arquivos enviados. Além disso, audite o acesso de administradores para minimizar o risco de exploração. Como solução temporária, considere restringir o acesso ao endpoint
/module admin/upload.php até que uma correção esteja disponível.Correção
Unrestricted File Upload
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Freepbx