Se han revelado varias vulnerabilidades de seguridad en la plataforma PBX de código abierto FreePBX, incluida una falla crítica que podría provocar una omisión de autenticación en ciertas configuraciones.
Los defectos descubiertos por Horizon3.ai e informados a los mantenedores del proyecto el 15 de septiembre de 2025 se enumeran a continuación:
- CVE-2025-61675 (Puntuación CVSS: 8,6): numerosas vulnerabilidades de inyección SQL autenticadas que afectan a cuatro puntos finales únicos (estación base, modelo, firmware y extensión personalizada) y 11 parámetros afectados que permiten acceso de lectura y escritura a la base de datos SQL subyacente.
- CVE-2025-61678 (Puntuación CVSS: 8,6): una vulnerabilidad de carga de archivos arbitrarios autenticados que permite a un atacante explotar el punto final de carga de firmware para cargar un shell web PHP después de obtener un PHPSESSID válido y ejecutar comandos arbitrarios para revelar el contenido de archivos confidenciales (por ejemplo, /etc/passwd).
- CVE-2025-66039 (Puntuación CVSS: 9,3): una vulnerabilidad de omisión de autenticación que se produce cuando el “Tipo de autorización” (también conocido como AUTHTYPE) se establece en “Servidor web” y permite a un atacante iniciar sesión en el Panel de control del administrador a través de un encabezado de autorización falsificado.
Vale la pena mencionar aquí que la omisión de autenticación no es vulnerable en la configuración predeterminada de FreePBX ya que la opción “Tipo de autorización” se muestra solo cuando los siguientes tres valores están configurados en “Sí” en los detalles de configuración avanzada:
- Mostrar nombre mostrado
- Mostrar configuraciones de solo lectura y
- Sobrescribir la configuración de solo lectura
Sin embargo, una vez que se cumple el requisito previo, un atacante podría enviar solicitudes HTTP diseñadas para evitar la autenticación e insertar un usuario malintencionado en la tabla de la base de datos de ampusers, logrando efectivamente algo similar a CVE-2025-57819, otra falla en FreePBX que fue explotada activamente en septiembre de 2025.
“Estas vulnerabilidades son fácilmente explotables y permiten a atacantes remotos autenticados o no autenticados ejecutar código de forma remota en instancias FreePBX vulnerables”, dijo Noah King, investigador de seguridad de Horizon3.ai, en un informe publicado la semana pasada.
Los problemas se han resuelto en las siguientes versiones:
- CVE-2025-61675 Y CVE-2025-61678 – 16.0.92 y 17.0.6 (corregido el 14 de octubre de 2025)
- CVE-2025-66039 – 16.0.44 y 17.0.23 (fijado el 9 de diciembre de 2025)
Además, la opción para seleccionar un proveedor de autenticación ahora se eliminó de la Configuración avanzada y requiere que los usuarios la configuren manualmente a través de la línea de comando usando fwconsole. Como solución temporal, FreePBX recomendó que los usuarios establezcan el “Tipo de autorización” en “Administrador de usuarios”, establezcan “Anular configuración de solo lectura” en “No”, apliquen la nueva configuración y reinicien el sistema para desconectar cualquier sesión no deseada.
“Si descubre que el servidor web AUTHTYPE se ha activado accidentalmente, debe analizar completamente su sistema en busca de signos de posible compromiso”, decía.
Los usuarios también verán una advertencia en el panel que indica que el “Servidor web” puede proporcionar menor seguridad en comparación con el “Administrador de usuarios”. Para una protección óptima, se recomienda evitar el uso de este tipo de autenticación.
“Es importante tener en cuenta que el código vulnerable subyacente todavía está presente y depende de capas de autenticación ascendentes para garantizar la seguridad y el acceso a la instancia de FreePBX”, dijo King. “Aún requiere pasar un encabezado de Autorización con un nombre de usuario:contraseña codificado en Base64 básico”.
“Dependiendo del punto final, descubrimos que se requiere un nombre de usuario válido. En otros casos, como la carga del archivo compartido anteriormente, no se requiere un nombre de usuario válido y se puede lograr la ejecución remota de código en unos pocos pasos como se describe. Se recomienda no utilizar el tipo de autenticación de servidor web ya que parece ser código heredado”.
About The Author
