Se han revelado múltiples vulnerabilidades de seguridad en la plataforma de intercambio de sucursales privadas (PBX) de código abierto FreePBX, incluida una falla crítica que podría resultar en una omisión de autenticación en ciertas configuraciones.
Las deficiencias, descubiertas por Horizon3.ai e informadas a los mantenedores del proyecto el 15 de septiembre de 2025, se enumeran a continuación:
- CVE-2025-61675 (Puntuación CVSS: 8,6): numerosas vulnerabilidades de inyección SQL autenticadas que afectan a cuatro puntos finales únicos (estación base, modelo, firmware y extensión personalizada) y 11 parámetros afectados que permiten el acceso de lectura y escritura a la base de datos SQL subyacente.
- CVE-2025-61678 (Puntuación CVSS: 8,6): una vulnerabilidad de carga de archivos arbitrarios autenticados que permite a un atacante explotar el punto final de carga de firmware para cargar un shell web PHP después de obtener un PHPSESSID válido y ejecutar comandos arbitrarios para filtrar el contenido de archivos confidenciales (por ejemplo, «/etc/passwd»)
- CVE-2025-66039 (Puntuación CVSS: 9,3): una vulnerabilidad de omisión de autenticación que se produce cuando el «Tipo de autorización» (también conocido como AUTHTYPE) se establece en «servidor web», lo que permite a un atacante iniciar sesión en el Panel de control del administrador a través de un encabezado de autorización falsificado.
Vale la pena mencionar aquí que la omisión de autenticación no es vulnerable en la configuración predeterminada de FreePBX, dado que la opción «Tipo de autorización» solo se muestra cuando los tres valores siguientes en los Detalles de configuración avanzada están configurados en «Sí»:
- Mostrar nombre descriptivo
- Mostrar configuración de solo lectura y
- Anular la configuración de solo lectura
Sin embargo, una vez que se cumple el requisito previo, un atacante podría enviar solicitudes HTTP diseñadas para eludir la autenticación e insertar un usuario malicioso en la tabla de la base de datos «ampusers», logrando efectivamente algo similar a CVE-2025-57819, otra falla en FreePBX que se reveló que había sido explotada activamente en septiembre de 2025.
«Estas vulnerabilidades son fácilmente explotables y permiten a atacantes remotos autenticados o no autenticados lograr la ejecución remota de código en instancias FreePBX vulnerables», dijo el investigador de seguridad de Horizon3.ai, Noah King, en un informe publicado la semana pasada.
Los problemas se han abordado en las siguientes versiones:
- CVE-2025-61675 y CVE-2025-61678 – 16.0.92 y 17.0.6 (Corregido el 14 de octubre de 2025)
- CVE-2025-66039 – 16.0.44 y 17.0.23 (Fijado el 9 de diciembre de 2025)
Además, la opción de elegir un proveedor de autenticación ahora se eliminó de la Configuración avanzada y requiere que los usuarios la configuren manualmente a través de la línea de comandos usando fwconsole. Como mitigaciones temporales, FreePBX ha recomendado que los usuarios establezcan «Tipo de autorización» en «administrador de usuarios», establezcan «Anular configuración de solo lectura» en «No», apliquen la nueva configuración y reinicien el sistema para desconectar cualquier sesión no autorizada.
«Si descubre que el servidor web AUTHTYPE se habilitó inadvertidamente, entonces debe analizar completamente su sistema en busca de signos de posible compromiso», decía.
A los usuarios también se les muestra una advertencia en el panel de control, que indica que «servidor web» puede ofrecer seguridad reducida en comparación con «administrador de usuarios». Para una protección óptima, se recomienda evitar el uso de este tipo de autenticación.
«Es importante tener en cuenta que el código vulnerable subyacente todavía está presente y depende de las capas de autenticación anteriores para proporcionar seguridad y acceso a la instancia de FreePBX», dijo King. «Aún requiere pasar un encabezado de Autorización con un nombre de usuario:contraseña básico codificado en Base64».
«Dependiendo del punto final, notamos que se requería un nombre de usuario válido. En otros casos, como la carga del archivo compartido anteriormente, no se requiere un nombre de usuario válido y se puede lograr la ejecución remota del código con unos pocos pasos, como se describe. Es una mejor práctica no utilizar el tipo de autenticación de servidor web, ya que parece ser código heredado».
