https://blog.qife122.com/tags/freepbx/ Recent content in FreePBX on 办公AI智能小助手 Hugo zh-cn qife Sun, 28 Dec 2025 17:38:44 +0800 https://blog.qife122.com/p/freepbx-%E5%90%AF%E5%8A%A8%E8%84%9A%E6%9C%AC%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90%E4%B8%8D%E5%8F%AF%E4%BF%A1%E6%90%9C%E7%B4%A2%E8%B7%AF%E5%BE%84%E5%AF%BC%E8%87%B4%E7%9A%84%E6%9C%AC%E5%9C%B0%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87/ Sun, 28 Dec 2025 17:38:44 +0800 https://blog.qife122.com/p/freepbx-%E5%90%AF%E5%8A%A8%E8%84%9A%E6%9C%AC%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90%E4%B8%8D%E5%8F%AF%E4%BF%A1%E6%90%9C%E7%B4%A2%E8%B7%AF%E5%BE%84%E5%AF%BC%E8%87%B4%E7%9A%84%E6%9C%AC%E5%9C%B0%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87/ <h1 id="cve-2025-67722-cwe-426-freepbx-security-reporting中的不可信搜索路径漏洞">CVE-2025-67722: CWE-426: FreePBX security-reporting中的不可信搜索路径漏洞</h1> <p><strong>严重性：中等</strong> <strong>类型：漏洞</strong></p> <p><strong>CVE-2025-67722</strong></p> <p>FreePBX是一个用于管理Asterisk的开源、基于Web的图形用户界面（GUI）。在FreePBX框架16.0.45和17.0.24之前的版本中，已废弃的FreePBX启动脚本 <code>amportal</code> 存在一个经过身份验证的本地权限提升漏洞。</p> https://blog.qife122.com/p/freepbx%E7%AB%AF%E7%82%B9%E6%A8%A1%E5%9D%97rest-api%E8%AE%A4%E8%AF%81sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90/ Mon, 15 Dec 2025 09:09:09 +0800 https://blog.qife122.com/p/freepbx%E7%AB%AF%E7%82%B9%E6%A8%A1%E5%9D%97rest-api%E8%AE%A4%E8%AF%81sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90/ <h1 id="cve-2025-62173---endpoint-module-rest-api-认证-sql-注入漏洞">CVE-2025-62173 - Endpoint Module Rest API 认证 SQL 注入漏洞</h1> <h2 id="概述">概述</h2> <h3 id="漏洞时间线">漏洞时间线</h3> <h2 id="描述">描述</h2> <h3 id="摘要">摘要</h3> <p>Endpoint Module Rest API 中的认证 SQL 注入漏洞。</p> <p><strong>信息</strong></p> <ul> <li><strong>发布日期：</strong> 2025年12月4日 00:15</li> <li><strong>最后修改日期：</strong> 2025年12月4日 17:15</li> <li><strong>远程可利用：</strong> 是！</li> <li><strong>来源：</strong> <a href="mailto:security-advisories@github.com">security-advisories@github.com</a></li> </ul> <h2 id="受影响产品">受影响产品</h2> <p>以下产品受 CVE-2025-62173 漏洞影响。 即使 cvefeed.io 知晓受影响产品的确切版本，下表也未显示该信息。</p> https://blog.qife122.com/p/freepbx-endpoint-manager-%E5%BC%B1%E5%AF%86%E7%A0%81%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90cve-2025-67513-%E6%8A%80%E6%9C%AF%E8%AF%A6%E8%A7%A3%E4%B8%8E%E4%BF%AE%E5%A4%8D%E6%8C%87%E5%8D%97/ Sat, 13 Dec 2025 11:22:37 +0800 https://blog.qife122.com/p/freepbx-endpoint-manager-%E5%BC%B1%E5%AF%86%E7%A0%81%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90cve-2025-67513-%E6%8A%80%E6%9C%AF%E8%AF%A6%E8%A7%A3%E4%B8%8E%E4%BF%AE%E5%A4%8D%E6%8C%87%E5%8D%97/ <h3 id="cve-2025-67513-cwe-521-freepbx-security-reporting-中的弱密码要求">CVE-2025-67513: CWE-521: FreePBX security-reporting 中的弱密码要求</h3> <p><strong>严重性：</strong> 中 <strong>类型：</strong> 漏洞 <strong>CVE：</strong> CVE-2025-67513</p> <p>FreePBX Endpoint Manager 是用于管理 FreePBX 系统中电话端点的模块。在 16.0.96 之前版本以及 17.0.1 至 17.0.9 版本中存在一个弱默认密码。默认情况下，该密码是一个 6 位数字值，可被暴力破解。（此即 <code>app_password</code> 参数）。根据本地配置，此密码可能是分机、语音信箱、用户管理器、DPMA 或 EPM 电话管理员密码。该问题已在版本 16.0.96 和 17.0.10 中修复。</p> https://blog.qife122.com/p/freepbx-sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8%E4%B8%8E%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E5%88%86%E6%9E%90cve-2025-57819/ Sat, 27 Sep 2025 03:58:28 +0800 https://blog.qife122.com/p/freepbx-sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8%E4%B8%8E%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E5%88%86%E6%9E%90cve-2025-57819/ <h2 id="漏洞概述">漏洞概述</h2> <p>该漏洞影响FreePBX 15.0.66、16.0.89和17.0.3之前的版本，存在于未授权访问的<code>/admin/ajax.php</code>端点。攻击者可通过SQL注入漏洞向数据库插入恶意cronjob任务，最终实现远程代码执行。</p> https://blog.qife122.com/p/freepbx-ajax.php%E6%9C%AA%E6%8E%88%E6%9D%83sql%E6%B3%A8%E5%85%A5%E5%88%B0%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8%E5%88%86%E6%9E%90/ Thu, 25 Sep 2025 23:08:50 +0800 https://blog.qife122.com/p/freepbx-ajax.php%E6%9C%AA%E6%8E%88%E6%9D%83sql%E6%B3%A8%E5%85%A5%E5%88%B0%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8%E5%88%86%E6%9E%90/ <h2 id="漏洞概述">漏洞概述</h2> <p>该漏洞影响FreePBX 15.0.66、16.0.89和17.0.3之前的版本，存在于<code>/admin/ajax.php</code>端点，无需认证即可利用。攻击者可通过SQL注入漏洞向数据库插入恶意cronjob任务，从而实现远程代码执行。</p>