Se han identificado múltiples vulnerabilidades de seguridad en la plataforma de centralita privada (PBX) de código abierto FreePBX, entre las que destaca una falla crítica que, bajo determinadas configuraciones, podría permitir la elusión de los mecanismos de autenticación.
Las vulnerabilidades fueron descubiertas por la firma de investigación Horizon3.ai y notificadas a los encargados del proyecto el 15 de septiembre de 2025. A continuación, se detallan las vulnerabilidades registradas:
- CVE-2025-61675 (CVSS 8,6): conjunto de vulnerabilidades de inyección SQL autenticadas que afectan a cuatro puntos finales distintos (estación base, modelo, firmware y extensión personalizada). En total, se identificaron 11 parámetros vulnerables, los cuales permiten operaciones de lectura y escritura sobre la base de datos SQL subyacente.
- CVE-2025-61678 (CVSS 8,6): vulnerabilidad autenticada de carga arbitraria de archivos que posibilita la explotación del punto final de carga de firmware. Un atacante que obtenga un PHPSESSID válido puede cargar un web shell en PHP, ejecutar comandos arbitrarios y exfiltrar información sensible, como el contenido del archivo
/etc/passwd. - CVE-2025-66039 (CVSS 9,3): vulnerabilidad de bypass de autenticación que se manifiesta cuando el parámetro “Authorization Type” (AUTHTYPE) se configura como “webserver”. En este escenario, un atacante puede acceder al panel de administración mediante la falsificación de encabezados HTTP de autorización.
Cabe destacar que esta omisión de autenticación no es explotable en la configuración predeterminada de FreePBX, ya que la opción Authorization Type únicamente se expone cuando los siguientes parámetros de la configuración avanzada se establecen en “Yes”:
- Mostrar nombre descriptivo.
- Mostrar configuración de solo lectura.
- Anular configuración de solo lectura.
Una vez cumplidas estas condiciones, un atacante puede emitir solicitudes HTTP especialmente diseñadas para evadir la autenticación e insertar un usuario malicioso en la tabla ampusers de la base de datos, obteniendo privilegios administrativos. Este comportamiento es comparable al de CVE-2025-57819, una vulnerabilidad previamente revelada y activamente explotada en septiembre de 2025.
Según Noah King, investigador de seguridad de Horizon3.ai, “estas vulnerabilidades son fácilmente explotables y permiten que atacantes remotos, autenticados o no autenticados, logren la ejecución remota de código en instancias vulnerables de FreePBX”, tal como se recoge en un informe publicado la semana pasada.
Las vulnerabilidades han sido corregidas en las siguientes versiones:
- CVE-2025-61675 y CVE-2025-61678: versiones 16.0.92 y 17.0.6 (parches publicados el 14 de octubre de 2025).
- CVE-2025-66039: versiones 16.0.44 y 17.0.23 (corrección aplicada el 9 de diciembre de 2025).
Adicionalmente, la opción para seleccionar el proveedor de autenticación ha sido eliminada de la interfaz de configuración avanzada. A partir de ahora, esta debe configurarse manualmente mediante la línea de comandos utilizando fwconsole. Como medidas de mitigación temporales, FreePBX recomienda:
- Configurar Authorization Type como “usermanager”.
- Establecer Override Readonly Settings en “No”.
- Aplicar la configuración y reiniciar el sistema para invalidar cualquier sesión no autorizada activa.
FreePBX advierte que, en caso de detectar que AUTHTYPE = webserver ha sido habilitado inadvertidamente, es imprescindible realizar un análisis exhaustivo del sistema en busca de posibles indicadores de compromiso.
Asimismo, el panel de control muestra una advertencia indicando que el método “webserver” proporciona un nivel de seguridad inferior en comparación con “usermanager”, recomendándose explícitamente evitar su uso para entornos productivos.
King también subraya que “el código vulnerable subyacente continúa presente y depende exclusivamente de las capas de autenticación frontales para garantizar la seguridad y el control de acceso a la instancia de FreePBX”. En este contexto, sigue siendo necesario incluir un encabezado de autorización con credenciales codificadas en Base64.
Finalmente, el investigador señala que los requisitos de autenticación varían según el punto final: en algunos casos se requiere un nombre de usuario válido, mientras que en otros —como en la carga de archivos compartida— no es necesario, lo que permite alcanzar la ejecución remota de código en pocos pasos. Como buena práctica, se recomienda no utilizar el tipo de autenticación webserver, dado que se trata de código heredado con deficiencias de seguridad estructurales.
Más información
- FreePBX Patches Critical SQLi, File-Upload, and AUTHTYPE Bypass Flaws Enabling RCE https://thehackernews.com/2025/12/freepbx-authentication-bypass-exposed.html
- Sangoma FreePBX Authentication Bypass and Remote Code Execution Vulnerabilities https://horizon3.ai/attack-research/vulnerabilities/cve-2025-57819/
- Exploitation of FreePBX SQL Injection Vulnerability to Modify the Database https://cyberpress.org/exploitation-of-freepbx-sql-injection-vulnerability-to-modify-the-database/
- Critical FreePBX RCE Vulnerability (ALL Versions)
https://www.freepbx.org/critical-freepbx-rce-vulnerability-all-versions/
