عالجت FPBX ثغرات أمنية خطيرة في وحدة إدارة نقاط النهاية، تسمح بتجاوز المصادقة وتنفيذ التعليمات البرمجية عن بُعد.هذه الثغرات، التي تؤثر على إعدادات نقاط نهاية الاتصالات الهاتفية في نظام IP PBX مفتوح
ثلاث مشكلات بالغة الخطورة تختلف عن الثغرة السابقة CVE-2025-57819، التي أُضيفت إلى قائمة الثغرات الأمنية المعروفة والمستغلة التابعة لوكالة الأمن السيبراني وأمن البنية التحتية (CISA). تسمح الثغرة CVE-2025-66039 بتجاوز المصادقة عند تفعيل نوع ترخيص "خادم الويب"، مما يسمح بتزوير رؤوس المصادقة الأساسية باستخدام اسم مستخدم صالح وكلمة مرور عشوائية للوصول إلى نقاط النهاية المحمية.
ترتبط هذه السلسلة بالثغرة CVE-2025-61675، وتتضمن عدة هجمات حقن SQL عبر محطة القاعدة، والبرنامج الثابت، وملف قاعدة البيانات، ونقاط نهاية الامتدادات المخصصة، مما يؤثر على 11 معلمة للوصول إلى قاعدة البيانات للقراءة والكتابة. أما الثغرة CVE-2025-61678 فتُمكّن من تحميل ملفات عشوائية عبر نقطة نهاية البرنامج الثابت، مما يسمح بنشر واجهة برمجة تطبيقات PHP لتنفيذ الأوامر.
تُمكّن هذه الثغرات مجتمعة المهاجمين غير المصادق عليهم من تنفيذ تعليمات برمجية عشوائية على الحالات المعرضة للخطر، مما يشكل خطراً كبيراً على البنية التحتية للاتصالات التجارية.
تجاوز المصادقة عبر تزوير رؤوس الطلبات
الثغرة الأمنية الأولى، CVE-2025-66039، هي ثغرة أمنية تُتيح تجاوز المصادقة في أنظمة FPBX المُهيأة باستخدام مصادقة خادم الويب.
يستطيع المهاجمون تزوير رأس طلب Ation باستخدام بيانات اعتماد مصادقة HTTP الأساسية، متجاوزين بذلك إجراءات التحقق الأمني التي تعتمد على مستوى التحقق في Ape.
على الرغم من أن هذا النوع من المصادقة ليس الإعداد الافتراضي، إلا أن المؤسسات التي تستخدمه تظل عرضة لخطر كبير.
أنه من خلال دمج هذا التجاوز مع وحدة إدارة نقاط النهاية، يمكن للمهاجمين استغلال ثغرات حقن SQL المتعددة (CVE-2025-61675).
تتأثر أربع نقاط نهاية فريدة وأحد عشر مُعاملًا، مما يسمح للمهاجمين بقراءة أو تعديل أو حذف سجلات قاعدة البيانات.
تُمكّن هذه الثغرات الأمنية (حقن SQL) الجهات الخبيثة من إدخال حسابات مستخدمين إداريين في جدول ars أو تنفيذ أوامر نظام التشغيل عبر جدول cs.
معرف CVE | نوع الثغرة | التأثير | الإصدارات المتأثرة
CVE-2025-66039 | تجاوز المصادقة | تنفيذ تعليمات برمجية عن بُعد | 16.x، 17.x (مصادقة خادم الويب)
CVE-2025-61675 | حقن SQL (متعدد) | تسريب البيانات، تنفيذ تعليمات برمجية عن بُعد | 16.x، 17.x (مدير نقطة النهاية)
CVE-2025-61678 | تحميل ملفات عشوائية | تنفيذ تعليمات برمجية عن بُعد | 16.x، 17.x (تحميل البرامج الثابتة)
يُتيح تحميل الملفات العشوائي تنفيذ التعليمات البرمجية عن بُعد
أما الثغرة الأمنية الخطيرة الثالثة، CVE-2025-61678، فتتعلق بثغرة تسمح بتحميل الملفات العشوائية في وظيفة تحميل البرامج الثابتة.
يستطيع المهاجمون التلاعب بمسارات الملفات وتحميل برامج PHP خبيثة دون التحقق من صحتها، مما يؤدي إلى تنفيذ تعليمات برمجية عن بُعد دون مصادقة.
في إثبات تحميل وتنفيذ برنامج PHP خبيث يمنح صلاحيات وصول كاملة إلى النظام. وقد FPBX تحديثات لمعالجة الثغرات الأمنية الثلاث.
ينبغي على المؤسسات التي تستخدم الإصدارات 16.x أو 17.x التحديث فورًا إلى الإصدارين 16.0.92 و17.0.6 لمعالجة ثغرات حقن SQL ومشاكل تحميل الملفات، وإلى الإصدارين 16.0.42 و17.0.22 لمعالجة ثغرة تجاوز المصادقة.
بالإضافة إلى ذلك، أزالت FPBX خيار مصادقة خادم الويب من واجهة المستخدم، وأصبح يتطلب الآن تهيئة يدوية عبر سطر الأوامر، مما يؤدي إلى ظهور تحذيرات في لوحة التحكم عند تفعيله.
بمراجعة قواعد بيانات FPBX بحثًا عن إدخالات مشبوهة، ومستخدمين غير مصرح لهم في جدول ars، وملفات مشبوهة في الدليل /var/www/html.
المؤسسات بتجنب استخدام مصادقة خادم الويب، التي تعتمد على برمجيات قديمة وآليات أمان أضعف.
.png "English"){kind=small}
0 تعليقات