Hack Alerta

FreePBX: falhas críticas (incluindo AUTHTYPE bypass) permitem RCE

Por Redação Hack Alerta Publicado em 15/12/2025 12:01 Riscos e Ameaças Tempo de leitura: 3 min

Múltiplas vulnerabilidades no FreePBX, reportadas pela Horizon3.ai, incluem CVE‑2025‑61675 (CVSS 8.6) e um bypass do AUTHTYPE que, em combinação com falhas de upload e SQLi, pode permitir execução remota em instâncias mal configuradas. A recomendação é aplicar patches, isolar interfaces administrativas e revisar módulos de terceiros. Não há evidência pública de exploração em massa na divulgação consultada.

FreePBX: falhas críticas (incluindo AUTHTYPE bypass) permitem RCE

O projeto open‑source FreePBX teve múltiplas vulnerabilidades divulgadas que, segundo a divulgação, incluem um bypass de autenticação ligado ao mecanismo AUTHTYPE e falhas que podem resultar em execução remota de código (RCE) em determinadas configurações.

Descoberta e escopo / O que mudou agora

Os problemas foram reportados pela equipe da Horizon3.ai e recebidos pelos mantenedores do projeto. Entre os itens documentados está o CVE‑2025‑61675, com pontuação CVSS de 8.6, descrito na matéria como um conjunto de falhas que podem levar a autenticação bypass sob certas configurações, além de outras vulnerabilidades que juntas elevam o risco de comprometimento do ambiente PBX.

Vetor e exploração / Mitigações

A matéria original indica que as falhas afetam instâncias do FreePBX quando certas configurações e módulos estão presentes. O vetor inclui, conforme os pesquisadores, combinação de injeção (SQLi), falhas em upload de arquivos e bypass de AUTHTYPE — comportamentos que podem ser encadeados para obter execução remota em servidores que expõem interfaces administrativas ou serviços de mídia vulneráveis.

  • Mitigação imediata recomendada: aplicar os patches liberados pelo projeto FreePBX assim que disponíveis.
  • Medidas compensatórias: isolar interfaces administrativas, restringir acesso por rede ou firewall, e revisar módulos de terceiros instalados.

Impacto e alcance / Setores afetados

FreePBX é amplamente usado em ambientes empresariais e provedores de serviços VoIP. Uma falha que permite bypass de autenticação e RCE tem impacto direto em confidencialidade, integridade e disponibilidade de sistemas de telefonia corporativa, podendo levar a interceptação de chamadas, fraude em tarifação e pivot para redes internas.

Não há, na fonte, estimativa do número de instalações afetadas ou evidência pública de exploração em larga escala até o momento da publicação.

Limites das informações / O que falta saber

A reportagem não detalha versões específicas afetadas nem fornece comandos de prova de conceito reproduzíveis. Também não há, na divulgação consultada, informações sobre notificações a operadores nacionais ou agentes reguladores. Na ausência desses dados, organizações devem tratar o alerta como de alta prioridade e conduzir avaliação de risco baseada em sua própria configuração do FreePBX.

Repercussão / Próximos passos / LGPD

Operadores que mantêm PBX gerenciados ou infraestrutura de voz devem priorizar a aplicação de correções e revisar controles de acesso. Se houver evidência de comprometimento que envolva dados pessoais de brasileiros, aplicar o fluxo de resposta da LGPD (aviso à ANPD e titulares quando exigível) é recomendado, conforme orientação legal e de boas práticas.

Fonte da apuração: The Hacker News (reportagem com referência à pesquisa da Horizon3.ai).

Baseado em publicação original de The Hacker News
Tags: #voip #freepbx #rce #cve-2025-61675 #horizon3ai #authtype #sql-injection #upload #seguranca
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar