Açık kaynaklı özel şube değişimi (PBX) platformu FreePBX’te, belirli yapılandırmalar altında kimlik doğrulamanın atlanmasına neden olabilecek kritik bir kusur da dahil olmak üzere çok sayıda güvenlik açığı ortaya çıktı.
Horizon3.ai tarafından tespit edilen ve 15 Eylül 2025 tarihinde proje sahiplerine bildirilen eksiklikler aşağıda sıralanmıştır:
- CVE-2025-61675 (CVSS puanı: 8,6) – Dört benzersiz uç noktayı (baz istasyonu, model, ürün yazılımı ve özel uzantı) ve temeldeki SQL veritabanına okuma ve yazma erişimi sağlayan 11 etkilenen parametreyi etkileyen çok sayıda kimliği doğrulanmış SQL enjeksiyon güvenlik açığı
- CVE-2025-61678 (CVSS puanı: 8,6) – Bir saldırganın, geçerli bir PHPSESSID aldıktan sonra bir PHP web kabuğu yüklemek ve hassas dosyaların içeriğini sızdırmak için rastgele komutlar çalıştırmak üzere ürün yazılımı yükleme uç noktasından yararlanmasına olanak tanıyan, kimliği doğrulanmış bir rastgele dosya yükleme güvenlik açığı (örneğin, “/etc/passwd”)
- CVE-2025-66039 (CVSS puanı: 9,3) – “Yetkilendirme Türü” (aka AUTHTYPE) “web sunucusu” olarak ayarlandığında ortaya çıkan ve bir saldırganın sahte bir Yetkilendirme başlığı aracılığıyla Yönetici Kontrol Panelinde oturum açmasına olanak tanıyan bir kimlik doğrulama atlama güvenlik açığı
“Yetkilendirme Türü” seçeneğinin yalnızca Gelişmiş Ayarlar Ayrıntılarında aşağıdaki üç değer “Evet” olarak ayarlandığında görüntülendiği göz önüne alındığında, FreePBX’in varsayılan yapılandırmasında kimlik doğrulama atlamasının savunmasız olmadığını burada belirtmekte fayda var:
- Kolay Adı Görüntüle
- Salt Okunur Ayarları Görüntüle ve
- Salt Okunur Ayarları Geçersiz Kıl
Bununla birlikte, önkoşul karşılandığında, bir saldırgan, kimlik doğrulamayı atlatmak için hazırlanmış HTTP istekleri gönderebilir ve “ampusers” veritabanı tablosuna kötü niyetli bir kullanıcı ekleyebilir, böylece FreePBX’teki Eylül 2025’te aktif olarak istismar edildiği açıklanan başka bir kusur olan CVE-2025-57819’a benzer bir şeyi etkili bir şekilde başarabilir.
Horizon3.ai güvenlik araştırmacısı Noah King geçen hafta yayınlanan bir raporda, “Bu güvenlik açıkları kolayca istismar edilebilir ve kimliği doğrulanmış/doğrulanmamış uzak saldırganların savunmasız FreePBX örneklerinde uzaktan kod yürütmesine olanak tanır.” dedi.
Sorunlar aşağıdaki sürümlerde giderilmiştir –
- CVE-2025-61675 Ve CVE-2025-61678 – 16.0.92 ve 17.0.6 (14 Ekim 2025’te düzeltildi)
- CVE-2025-66039 – 16.0.44 ve 17.0.23 (9 Aralık 2025’te düzeltildi)
Ayrıca, kimlik doğrulama sağlayıcısı seçme seçeneği artık Gelişmiş Ayarlar’dan kaldırılmıştır ve kullanıcıların bunu fwconsole kullanarak komut satırı aracılığıyla manuel olarak ayarlamasını gerektirmektedir. Geçici azaltımlar olarak FreePBX, kullanıcıların “Yetkilendirme Türü”nü “kullanıcı yöneticisi” olarak ayarlamasını, “Salt Okunur Ayarları Geçersiz Kıl”ı “Hayır” olarak ayarlamasını, yeni yapılandırmayı uygulamasını ve hileli oturumların bağlantısını kesmek için sistemi yeniden başlatmasını önerdi.
“AUTHTYPE web sunucusunun yanlışlıkla etkinleştirildiğini tespit ettiyseniz, o zaman herhangi bir potansiyel tehlike işareti açısından sisteminizi tam olarak analiz etmelisiniz” dedi.
Kullanıcılara ayrıca kontrol panelinde “web sunucusu”nun “kullanıcı yöneticisine” kıyasla daha düşük güvenlik sunabileceğini belirten bir uyarı görüntülenir. Optimum koruma için bu kimlik doğrulama türünün kullanılmasından kaçınılması önerilir.
King, “Temelde bulunan savunmasız kodun hala mevcut olduğunu ve FreePBX örneğine güvenlik ve erişim sağlamak için öndeki kimlik doğrulama katmanlarına dayandığını unutmamak önemlidir” dedi. “Yine de Temel base64 kodlu kullanıcı adı:şifre içeren bir Yetkilendirme başlığının iletilmesini gerektiriyor.”
“Uç noktaya bağlı olarak geçerli bir kullanıcı adının gerekli olduğunu fark ettik. Yukarıda paylaşılan dosya yükleme gibi diğer durumlarda, geçerli bir kullanıcı adı gerekli değildir ve belirtildiği gibi birkaç adımla uzaktan kod yürütmeyi gerçekleştirebilirsiniz. Eski kod gibi göründüğü için kimlik doğrulama türü web sunucusunu kullanmamak en iyi uygulamadır.”