PT-2025-51353 · Unknown+1 · Freepbx Tts Module+1
Mcorybillington
·
Publicado
2025-12-16
·
Atualizado
2025-12-21
·
CVE-2025-67736
CVSS v4.0
8.6
Alta
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do módulo tts do FreePBX anteriores à 16.0.5
Versões do módulo tts do FreePBX anteriores à 17.0.5
Descrição
O módulo Text to Speech (tts) para FreePBX, uma interface gráfica de usuário baseada na web para Asterisk, contém uma falha de injeção de SQL. Usuários autenticados com acesso de administrador podem explorar essa falha para extrair informações sensíveis do banco de dados. A exploração bem-sucedida permite a execução de código no sistema como o usuário
asterisk, potencialmente levando a privilégios de root através de escalonamento de privilégios. A área vulnerável é acessível através do Painel de Controle do Administrador (ACP).Recomendações
Atualize para a versão 16.0.5 ou posterior do módulo tts do FreePBX.
Atualize para a versão 17.0.5 ou posterior do módulo tts do FreePBX.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Asterisk
Freepbx Tts Module