Sangoma旗下電話管理系統FreePBX存在重大資安漏洞(CVE-2025-66039)
- 發布單位:TWCERT/CC
- 更新日期:2025-12-18
- 點閱次數:67
- 內容說明
FreePBX是Sangoma旗下開源IP電話管理系統,包含管理網路電話、來電轉接、會議功能等。近期FreePBX發布重大資安公告,指出系統的模組FreePBX Endpoint Manager存在身分驗證錯誤漏洞(CVE-2025-66039,CVSS 4.x:9.3),若身份驗證類型設定為「webserver」時,該模組存在身分驗證繞過漏洞;若Authorization標頭的値為任意,無論憑證是否有效,都會把session導向目標使用者。
- 影響平台
FreePBX 16.0.44版本(不含)之前版本、
FreePBX 17.0.23版本(不含)之前版本
- 處置建議
請更新至以下版本:
FreePBX 16.0.44版本、
FreePBX 17.0.23版本