FreePBX Endpoint mit kritischer RCE-Schwachstelle CVE-2025-57819

Veröffentlicht am 1. November 2025 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Es gibt eine Schwachstelle CVE-2025-57819 in FreePX Endpoint. Eine nicht authentifizierte SQL-Injection-Möglichkeit kann zur Remote Code Execution (RCE) in dieser Software, die aus Teams-Ersatz verwendet wird, führen. Hier ein Übersicht über das Problem, welche mir die Tage untergekommen ist.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Was ist FreePBX?

FreePBX ist eine quelloffene, webbasierte grafische Benutzeroberfläche, die das Asterisk-VoIP-Telefonsystem verwaltet und steuert. Der Großteil des Codes ist vollständig quelloffen. Anwender können ein Gerät mit einem Bash-Skript oder einer ISO-Datei starten und das PHP nach Herzenslust durchsuchen. Einige kommerzielle Zusatzmodule sind jedoch hinter einem ionCube Loader gesperrt. FreePBX wird von Hobbybastlern zu Hause über Managed Service Providern (MSPs) bis hin zu großen Unternehmen, z.B. anstelle von Microsoft Teams, genutzt.

Klagen über Konfigurationsfehler legen 0-day offen

Eine Kompromittierung von FreePBX bedeutet Zugriff auf Telefonanrufe, Voicemails, Aufzeichnungen und vieles mehr. Dass da etwas nicht koscher sein könnte, wurde im August 2025 klar, als als nervige Systemadministratoren begannen, in den FreePBX-Community-Foren Beiträge zu veröffentlichen, in denen sie sich über fehlerhafte Installationen und anderen Unsinn beschwerten.

0-day-Schwachstelle CVE-2025-57819 ausgenutzt

Am Ende des Tages war klar, dass es eine 0-day-Schwachstelle CVE-2025-57819 in FreePBX gibt. Die Endpunkte FreePBX 15, 16 und 17 sind aufgrund unzureichend bereinigter, vom Benutzer bereitgestellter Daten für SQL Injection anfällig. Die Schwachstelle ermöglicht einen nicht authentifizierten Zugriff auf den FreePBX-Administrator. Das führt zu willkürlichen Datenbankmanipulationen und der Ausführung von Remote-Code.

FreePBX-Schwachstelle CVE.2025-57819

Ich bin die Tage über obigen Tweet auf den Sachverhalt gestoßen. WatchTowr Labs hat es in diesem Beitrag näher beleuchtet. Auf GitHub gibt es diesen Beitrag mit der Beschreibung der Schwachstelle, die wohl vom Entdecker massenhaft ausgenutzt wurde. Ich habe mal bei hunter how geschaut, die Suche fördert für Deutschland über 1,1000 Installationen zu Tage. Dieses Problem wurde in den Endpunktversionen 15.0.66, 16.0.89 und 17.0.3 behoben.

Dieser Beitrag wurde unter Cloud, Sicherheit, Software abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.