| CVE編號 | CVE-2025-66039 |
|---|---|
| 影響產品 | Sangoma FreePBX |
| 解決辦法 | 請更新至以下版本: FreePBX 16.0.44版本、 FreePBX 17.0.23版本 |
| 張貼日 | 2025-12-18 |
| 上稿單位 | TWCERT/CC |
- 內容說明
FreePBX是Sangoma旗下開源IP電話管理系統,包含管理網路電話、來電轉接、會議功能等。近期FreePBX發布重大資安公告,指出系統的模組FreePBX Endpoint Manager存在身分驗證錯誤漏洞(CVE-2025-66039,CVSS 4.x:9.3),若身份驗證類型設定為「webserver」時,該模組存在身分驗證繞過漏洞;若Authorization標頭的値為任意,無論憑證是否有效,都會把session導向目標使用者。
- 影響平台
FreePBX 16.0.44版本(不含)之前版本、
FreePBX 17.0.23版本(不含)之前版本