PT-2025-36096 · Freepbx · Freepbx Contactmanager Module
J0Eblow
·
Publicado
2025-09-04
·
Atualizado
2025-09-05
·
CVE-2025-55209
CVSS v4.0
5.1
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L |
Nome do Software Vulnerável e Versões Afetadas
Módulo contactmanager do FreePBX versões 15.0.14 e inferiores
Módulo contactmanager do FreePBX versões 16.0.0 a 16.0.26
Módulo contactmanager do FreePBX versões 17.0.0 a 17.0.5
Descrição
O módulo contactmanager do FreePBX contém uma vulnerabilidade de cross-site scripting (XSS) armazenado. Um usuário do Painel de Controle do Usuário (UCP) com baixos privilégios pode injetar JavaScript malicioso no sistema. O código malicioso executa no contexto de um administrador quando este interage com o componente afetado, potencialmente levando ao sequestro de sessão e escalonamento de privilégios.
Recomendações
Módulo contactmanager do FreePBX versão 15.0.15 ou posterior
Módulo contactmanager do FreePBX versão 16.0.27 ou posterior
Módulo contactmanager do FreePBX versão 17.0.6 ou posterior
Exploit
Correção
LPE
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Freepbx Contactmanager Module