FreePBX vá các lỗ hổng về tấn công SQLi và cho phép thực thi mã từ xa (RCE)

[T-X]

Nhiều lỗ hổng bảo mật đã được phát hiện trong nền tảng tổng đài điện thoại nội bộ (PBX) mã nguồn mở FreePBX, bao gồm một lỗi nghiêm trọng có thể dẫn đến việc bỏ qua xác thực trong một số cấu hình nhất định.

Các thiếu sót được   Đăng nhập để xem liên kết phát hiện và báo cáo cho những người duy trì dự án vào ngày 15 tháng 9 năm 2025 được liệt kê dưới đây:

    CVE-2025-61675 (Điểm CVSS: 8.6) - Nhiều lỗ hổng tấn công SQL injection đã được xác thực ảnh hưởng đến bốn điểm cuối duy nhất (trạm gốc, kiểu máy, phần mềm và phần mở rộng tùy chỉnh) và 11 tham số bị ảnh hưởng cho phép truy cập đọc và ghi vào cơ sở dữ liệu SQL bên dưới.
    CVE-2025-61678 (Điểm CVSS: 8.6) - Một lỗ hổng tải lên tập tin tùy ý được xác thực cho phép kẻ tấn công khai thác điểm cuối tải lên firmware để tải lên một web shell PHP sau khi có được PHPSESSID hợp lệ và chạy các lệnh tùy ý để rò rỉ nội dung của các tập tin nhạy cảm (ví dụ: "/etc/passwd").
    CVE-2025-66039 (điểm CVSS: 9.3) - Lỗ hổng bỏ qua xác thực xảy ra khi "Loại ủy quyền" (hay còn gọi là AUTHTYPE) được đặt thành "webserver", cho phép kẻ tấn công đăng nhập vào Bảng điều khiển quản trị thông qua tiêu đề Ủy quyền giả mạo.

Điều đáng lưu ý ở đây là lỗ hổng bỏ qua xác thực không tồn tại trong cấu hình mặc định của FreePBX, vì tùy chọn "Loại xác thực" chỉ được hiển thị khi ba giá trị sau trong Chi tiết cài đặt nâng cao được đặt thành "Có":

    Tên hiển thị thân thiện
    Hiển thị cài đặt chỉ đọc và
    Ghi đè cài đặt chỉ đọc

Tuy nhiên, một khi điều kiện tiên quyết được đáp ứng, kẻ tấn công có thể gửi các yêu cầu HTTP được tạo sẵn để vượt qua quá trình xác thực và chèn người dùng độc hại vào bảng cơ sở dữ liệu "ampusers", thực hiện điều tương tự như CVE-2025-57819, một lỗ hổng khác trong FreePBX đã được tiết lộ là bị khai thác tích cực trên thực tế vào tháng 9 năm 2025.

"Những lỗ hổng này rất dễ bị khai thác và cho phép kẻ tấn công từ xa, dù đã xác thực hay chưa, thực hiện việc thực thi mã từ xa trên các phiên bản FreePBX dễ bị tổn thương," nhà nghiên cứu bảo mật Noah King của   Đăng nhập để xem liên kết cho biết trong một báo cáo được công bố tuần trước.

Các vấn đề đã được giải quyết trong các phiên bản sau:

    Lỗ hổng CVE-2025-61675 và CVE-2025-61678 - phiên bản 16.0.92 và 17.0.6 (Đã được khắc phục vào ngày 14 tháng 10 năm 2025)
    CVE-2025-66039 - 16.0.44 và 17.0.23 (Đã khắc phục vào ngày 9 tháng 12 năm 2025)

Ngoài ra, tùy chọn chọn nhà cung cấp xác thực hiện đã bị xóa khỏi Cài đặt Nâng cao và yêu cầu người dùng phải thiết lập thủ công thông qua dòng lệnh bằng fwconsole. Để khắc phục tạm thời, FreePBX khuyến nghị người dùng đặt "Loại ủy quyền" thành "usermanager", đặt "Ghi đè cài đặt chỉ đọc" thành "Không", áp dụng cấu hình mới và khởi động lại hệ thống để ngắt kết nối bất kỳ phiên nào không được phép truy cập.

"Nếu bạn phát hiện ra rằng tính năng AUTHTYPE của máy chủ web đã được bật một cách vô tình, thì bạn nên phân tích kỹ lưỡng hệ thống của mình để tìm dấu hiệu của bất kỳ sự xâm phạm tiềm tàng nào," thông báo cho biết.

Người dùng cũng sẽ thấy một cảnh báo trên bảng điều khiển, cho biết "máy chủ web" có thể cung cấp mức độ bảo mật thấp hơn so với "quản lý người dùng". Để được bảo vệ tối ưu, nên tránh sử dụng loại xác thực này.

"Điều quan trọng cần lưu ý là mã độc hại tiềm ẩn vẫn còn tồn tại và dựa vào các lớp xác thực phía trước để cung cấp bảo mật và quyền truy cập vào phiên bản FreePBX," King cho biết. "Nó vẫn yêu cầu truyền một tiêu đề Authorization với tên người dùng:mật khẩu được mã hóa Base64 cơ bản."

"Tùy thuộc vào điểm cuối, chúng tôi nhận thấy cần có tên người dùng hợp lệ. Trong các trường hợp khác, chẳng hạn như tải lên tập tin được chia sẻ ở trên, tên người dùng hợp lệ không bắt buộc và bạn có thể thực thi mã từ xa với một vài bước như đã nêu. Tốt nhất là không nên sử dụng loại xác thực máy chủ web vì nó có vẻ là mã cũ."