FreePBX, Uç Nokta Yöneticisi modülünde kimlik doğrulamayı atlamayı ve uzaktan kod yürütmeyi mümkün kılan kritik güvenlik açıklarını giderdi. Horizon3.ai araştırmacıları tarafından keşfedilen bu kusurlar, açık kaynaklı IP PBX sistemindeki telefon uç noktası yapılandırmalarını etkiliyor.
Araştırmacılar, CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna eklenen daha önceki CVE-2025-57819’dan farklı, yüksek önem derecesine sahip üç sorun tespit etti. CVE-2025-66039, “web sunucusu” yetkilendirme türü etkinleştirildiğinde kimlik doğrulamanın atlanmasına izin vererek, geçerli bir kullanıcı adı ve isteğe bağlı parolayla sahte Temel Kimlik Doğrulama başlıklarının korumalı uç noktalara erişmesine izin verir.
Bu zincir CVE-2025-61675’e sahiptir; baz istasyonu, donanım yazılımı, model taban dosyası ve özel uzantı uç noktaları arasında birden fazla SQL enjeksiyonu içerir ve veritabanı okuma/yazma erişimi için 11 parametreyi etkiler. CVE-2025-61678, donanım yazılımı uç noktası aracılığıyla rastgele dosya yüklemelerine olanak tanıyarak komut yürütme için PHP web kabuğu dağıtımına olanak tanır
Güvenlik açıkları toplu olarak, kimliği doğrulanmamış saldırganların savunmasız örnekler üzerinde rastgele kod yürütmesine olanak tanıyarak iş iletişim altyapısı için önemli bir risk oluşturur.
İlk güvenlik açığı olan CVE-2025-66039, web sunucusu tipi kimlik doğrulamayla yapılandırılmış FreePBX dağıtımlarını etkileyen bir kimlik doğrulama atlamadır.
Saldırganlar, Apache düzeyinde doğrulamaya dayanan güvenlik kontrollerini atlayarak Temel HTTP kimlik doğrulama bilgileriyle bir Yetkilendirme başlığı oluşturabilir.
Bu kimlik doğrulama türü varsayılan yapılandırma olmasa da, onu kullanan kuruluşlar ciddi şekilde riske maruz kalır.
Horizon3.ai araştırmacıları, saldırganların bu bypass’ı Uç Nokta Yönetimi modülüyle birleştirerek birden fazla SQL enjeksiyon güvenlik açığından (CVE-2025-61675) yararlanabileceğini keşfetti.
Dört benzersiz uç nokta ve on bir parametre etkilenerek saldırganların veritabanı girişlerini okumasına, değiştirmesine veya silmesine olanak tanır.
Bu SQL enjeksiyonları, kötü niyetli aktörlerin yönetici kullanıcıları amusers tablosuna eklemesine veya cron_jobs tablosu aracılığıyla işletim sistemi komutlarını yürütmesine olanak tanır.
| CVE Kimliği | Güvenlik Açığı Türü | Darbe | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2025-66039 | Kimlik Doğrulama Baypası | Uzaktan Kod Yürütme | 16.x, 17.x (web sunucusu kimlik doğrulaması) |
| CVE-2025-61675 | SQL Enjeksiyonu (Çoklu) | Veri Sızıntısı, RCE | 16.x, 17.x (Uç Nokta Yöneticisi) |
| CVE-2025-61678 | Rastgele Dosya Yükleme | Uzaktan Kod Yürütme | 16.x, 17.x (ürün yazılımı yükleme) |
Rastgele Dosya Yükleme Uzaktan Kod Yürütülmesine Olanak Sağlar
Üçüncü kritik kusur olan CVE-2025-61678, ürün yazılımı yükleme işlevinde rastgele dosya yükleme güvenlik açığı içeriyor.
Saldırganlar, uygun doğrulama olmadan dosya yollarını değiştirebilir ve PHP web kabuklarını yükleyebilir, bu da kimliği doğrulanmamış uzaktan kod yürütülmesine neden olabilir.
Horizon3.ai araştırmacıları, tam sistem erişimi sağlayan bir PHP kabuğunun yüklenmesini ve çalıştırılmasını başarıyla gösterdi. FreePBX her üç güvenlik açığını da gideren yamalar yayınladı.
16.x veya 17.x sürümlerini kullanan kuruluşlar, SQL ekleme ve dosya yükleme sorunlarını gidermek için derhal 16.0.92 ve 17.0.6’ya, kimlik doğrulama atlama sorununu gidermek için ise 16.0.42 ve 17.0.22’ye güncellemelidir.
Ayrıca FreePBX, web sunucusu kimlik doğrulama seçeneğini kullanıcı arayüzünden kaldırdı ve artık komut satırı aracılığıyla manuel yapılandırma gerektiriyor, etkinleştirildiğinde gösterge tablosu uyarılarını tetikliyor.
Horizon3.ai araştırmacıları, şüpheli veri tabanı girişleri, ampusers tablosundaki yetkisiz kullanıcılar ve /var/www/html dizinindeki şüpheli dosyalar açısından FreePBX örneklerinin denetlenmesini önermektedir.
Horizon3.ai, kuruluşlara eski kodlara ve daha zayıf güvenlik mekanizmalarına dayanan web sunucusu kimlik doğrulamasını kullanmaktan kaçınmalarını tavsiye ediyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
