← volver
CVE-2025-57819

FreePBX Affected by Authentication Bypass Leading to SQL Injection and RCE

CVSS 10 CRITICALEPSS 93.3%● KEVCWE-288CWE-89
En resumen

FreePBX versiones 15, 16 y 17 contienen una falla que permite a atacantes eludir la autenticación e implementar acceso de administrador sin credenciales, lo que permite manipular la base de datos o ejecutar código arbitrario en el servidor.

Detalle técnico

Una vulnerabilidad de elusión de autenticación en FreePBX 15–17 permite a atacantes no autenticados acceder a la interfaz de Administrador mediante datos de entrada insuficientemente sanitizados. Esto resulta en inyección SQL (CWE-89) y ejecución remota de código, comprometiendo la integridad del sistema sin requerir credenciales previas.

Resumen generado y traducido por IA a partir de la descripción oficial.
FreePBX is an open-source web-based graphical user interface. FreePBX 15, 16, and 17 endpoints are vulnerable due to insufficiently sanitized user-supplied data allowing unauthenticated access to FreePBX Administrator leading to arbitrary database manipulation and remote code execution. This issue has been patched in endpoint versions 15.0.66, 16.0.89, and 17.0.3.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Productos afectados
FreePBX · endpoint
PoCs públicas encontradas16
cve_referencegithub.com/watchtowrlabs/watchTowr-vs-FreePBX-CVE-2025-5781925githubgithub.com/0xEhab/FreePBX-CVE-2025-57819-RCE8githubgithub.com/b4sh2/CVE-2025-57819-poc7githubgithub.com/MuhammadWaseem29/SQL-Injection-and-RCE_CVE-2025-578196githubgithub.com/cybertechajju/cve-2025-578196githubgithub.com/blueisbeautiful/CVE-2025-578196githubgithub.com/Jeanback1/CVE-2025-57819-exploit2githubgithub.com/orange0Mint/CVE-2025-57819_FreePBX2githubgithub.com/rxerium/CVE-2025-578191githubgithub.com/ImBIOS/lab-cve-2025-578191githubgithub.com/xV4nd3Rx/CVE-2025-57819_FreePBX-PoC1githubgithub.com/Sucuri-Labs/CVE-2025-57819-ioc-check0githubgithub.com/jf-gondim/freepbx-endpoint-sqli-rce0githubgithub.com/YuvrajSHAD/FreePBX-CVE-2025-578190githubgithub.com/0xyngtg/FreePBX-CVE-2025-57819-CVE-2025-616780githubgithub.com/ozcanpng/CVE-2025-57819-FreePBX-RCE2Root0
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://community.freepbx.org/t/security-advisory-please-lock-down-your-administrator-access/107203https://github.com/FreePBX/security-reporting/security/advisories/GHSA-m42g-xg4c-5f3hhttps://github.com/watchtowrlabs/watchTowr-vs-FreePBX-CVE-2025-57819https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-57819