Kritische Sicherheitslücke in FreePBX

Das Entwickler-Team der Open-Source-Software FreePBX veröffentlichte am 26. August und 28. August 2025 Sicherheitswarnungen zur kritischen Sicherheitslücke CVE-2025-57819 (EUVD-2025-26123). CVE-2025-57819 mit dem höchstmöglichen CVSS-B-Score 10/10 ermöglicht Angreifenden SQL Injection und Remote Code Execution (RCE).

Laut der Shadowserver Foundation existieren in Deutschland 411 anfällige Instanzen, von denen bereits 52 kompromittiert seien.

Die Schwachstelle betrifft die folgenden Versionen von FreePBX:

• FreePBX-15-Versionen älter als 15.0.66
• FreePBX-16-Versionen älter als 16.0.89
• FreePBX-17-Versionen älter als 17.0.3

Mit den nachfolgenden Versionen behebt das Entwickler-Team die Lücke:

• 15.0.66
• 16.0.89
• 17.0.3

FreePBX ist eine webbasierte Benutzeroberfläche zur Verwaltung von Asterisk-Telefonanlagen.

• Installieren Sie umgehend und je nach Konfiguration eine der folgenden Versionen von FreePBX:
  • 15.0.66
  • 16.0.89
  • 17.0.3
• Prüfen Sie Ihre Systeme auf eine mögliche Kompromittierung. Verwenden Sie hierzu die in der unten verlinkten Sicherheitswarnung von FreePBX enthaltenen Kompromittierungsindikatoren (Indicators of Compromise: IoCs).