FreePBX — это открытый веб‑интерфейс графического управления. Уязвимость затрагивает модуль «endpoint» в версиях FreePBX 15, 16 и 17, где п…

FreePBX — это открытый веб‑интерфейс графического управления. Уязвимость затрагивает модуль «endpoint» в версиях FreePBX 15, 16 и 17, где пользовательские данные недостаточно экранируются, что позволяет неавторизованному атакующему получить доступ к панели администратора FreePBX, произвести произвольные изменения в базе данных и выполнить удалённый код (RCE). Уязвимость раскрыта в начале августа 2025 года, когда злоумышленники использовали ошибку валидации входных параметров модуля endpoint для доступа к системе, выставив её в публичный Интернет без ограничений IP‑фильтрации (подробности в [1] и [2]). Для защиты рекомендуется немедленно обновить модуль до исправленных версий 15.0.66, 16.0.89 или 17.0.3 (пакет endpoint в стабильных репозиториях). Обновление можно выполнить через веб‑интерфейс администратор → Module Admin или командой: $ fwconsole ma upgradeall или, при необходимости, скачав конкретную версию: $ fwconsole ma downloadinstall endpoint --tag 16.0.89 $ fwconsole ma downloadinstall endpoint --tag 17.0.3 Также следует ограничить доступ к администраторскому интерфейсу с помощью модуля Firewall (разрешить только известные IP), проверить отсутствие файлов‑мусора, например /var/www/html/.clean.sh, и отследить POST‑запросы к modular.php в журналах веб‑сервера (zgrep modular.php /var/log/{httpd,apache2}/*access*). При обнаружении следов эксплуатации рекомендуется выполнить процедуры восстановления, включая резервное копирование, переустановку системы и ротацию всех учётных данных. Источники: - [1] https://github.com/FreePBX/security-reporting/security/advisories/GHSA-m42g-xg4c-5f3h - [2] https://community.freepbx.org/t/security-advisory-please-lock-down-your-administrator-access/107203