PT-2025-36101 · Asterisk+1 · Asterisk+1
J0Eblow
·
Publicado
2025-09-04
·
Atualizado
2025-09-05
·
CVE-2025-55739
CVSS v4.0
5.1
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L |
Nome do Software Vulnerável e Versões Afetadas
Versões do FreePBX anteriores à 15.0.13
Versões do FreePBX 16.0.2 até a 16.0.14
Versões do FreePBX 17.0.1 e 17.0.2
Descrição
O módulo
api do FreePBX, uma interface gráfica de código aberto para o Asterisk, está suscetível a um problema no qual uma chave privada OAuth compartilhada é utilizada em múltiplos sistemas instalados com o mesmo pacote do FreePBX. Um atacante com acesso a esta chave poderia forjar tokens JWT, contornar a autenticação e potencialmente obter acesso total a ambos os Endpoints de API REST e GraphQL. Sistemas com o módulo "api" habilitado, configurado e previamente ativado por um administrador para conexões remotas de entrada podem ser afetados.Recomendações
Atualize para a versão 15.0.13 ou posterior do FreePBX.
Atualize para a versão 16.0.15 ou posterior do FreePBX.
Atualize para a versão 17.0.3 ou posterior do FreePBX.
Exploit
Correção
Insufficiently Protected Credentials
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Asterisk
Freepbx