Vulnerabilidades críticas no FreePBX podem comprometer segurança

BR Defense Center (By River de Morais e Silva)
vulnerabilidade

Recentemente, foram divulgadas múltiplas vulnerabilidades de segurança na plataforma de troca de ramais privada de código aberto FreePBX, incluindo uma falha crítica que pode permitir a bypass de autenticação em configurações específicas. As vulnerabilidades, descobertas pela Horizon3.ai e reportadas em setembro de 2025, incluem: CVE-2025-61675 e CVE-2025-61678, ambas com pontuação CVSS de 8.6, que permitem injeções SQL autenticadas e upload de arquivos arbitrários, respectivamente. A CVE-2025-66039, com pontuação CVSS de 9.3, permite que atacantes contornem a autenticação ao configurar o ‘Authorization Type’ como ‘webserver’, possibilitando o acesso ao Painel de Controle do Administrador. Embora a configuração padrão do FreePBX não seja vulnerável, a ativação inadvertida dessa opção pode expor sistemas a ataques. As falhas foram corrigidas nas versões 16.0.92 e 17.0.6, lançadas em outubro de 2025, e 16.0.44 e 17.0.23, em dezembro de 2025. A recomendação é que os usuários evitem o uso do tipo de autenticação ‘webserver’ e realizem uma análise completa do sistema caso essa configuração tenha sido ativada.

Fonte: https://thehackernews.com/2025/12/freepbx-authentication-bypass-exposed.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
15/12/2025 • Risco: ALTO
VULNERABILIDADE

Vulnerabilidades críticas no FreePBX podem comprometer segurança

RESUMO EXECUTIVO
As vulnerabilidades no FreePBX, especialmente a CVE-2025-66039, podem permitir acesso não autorizado e execução de código, representando um risco significativo para a segurança das comunicações empresariais. A correção das falhas é essencial para evitar compromissos de dados e garantir a conformidade com a LGPD.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a compromissos de dados e interrupções operacionais.
Operacional
Possibilidade de execução remota de código e comprometimento de dados sensíveis.
Setores vulneráveis
['Telecomunicações', 'Tecnologia da Informação']

📊 INDICADORES CHAVE

CVE-2025-66039 com CVSS 9.3. Indicador
CVE-2025-61675 e CVE-2025-61678 com CVSS 8.6. Contexto BR
11 parâmetros afetados por injeções SQL. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se a configuração 'Authorization Type' está definida como 'usermanager'.
2 Atualizar para as versões corrigidas do FreePBX imediatamente.
3 Monitorar logs de acesso e atividades suspeitas no sistema.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de sistemas de comunicação, que são críticos para operações empresariais.

⚖️ COMPLIANCE

Implicações para a LGPD em caso de vazamento de dados sensíveis.
Status
mitigado
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).