FreePBX-Schwachstelle ermöglicht Angreifern Zugriff auf Benutzerportale
Eine kritische Schwachstelle in der Open-Source-IP-PBX-Plattform FreePBX könnte es nicht authentifizierten Angreifern ermöglichen, auf Benutzerportale zuzugreifen.
Kurzfassung
Warum das wichtig ist
- Eine kritische Schwachstelle in der Open-Source-IP-PBX-Plattform FreePBX könnte es nicht authentifizierten Angreifern ermöglichen, auf Benutzerportale zuzugreifen.
- Das Problem, das unter der CVE-ID CVE-2026-46376 geführt wird, betrifft das Benutzerkontrollpanel (UCP) aufgrund Modul userman.
- Systeme mit veralteten Versionen sind gefährdet, wenn Administratoren die Standardzugangsdaten bei der ersten Konfiguration nicht ordnungsgemäß geändert haben.
Obwohl diese optional ist und die Bereitstellung vereinfachen soll, kann dieses Vorgehen ein ernstes Sicherheitsrisiko darstellen, wenn Administratoren die Standardzugangsdaten nach der Initialisierung nicht ändern.
Sobald das Vorlage konfiguriert ist, können diese Zugangsdaten weiterhin aktiv sein und es nicht authentifizierten Benutzern ermöglichen, sich ohne gültige Authentifizierung im UCP anzumelden.
Besonders hervorzuheben ist, dass Angreifer keinen vorherigen Zugriff, keine Berechtigungen oder eine Benutzerinteraktion benötigen, um diese Schwachstelle auszunutzen, was sie in exponierten Umgebungen zu einer erheblichen Gefahr macht.
Sicherheitslage und Risiko
Die Schwachstelle wird der CWE-798 (Verwendung fest codierter Anmeldeinformationen) zugeordnet, einer bekannten Schwachstelle, die häufig zu unbefugtem Zugriff führt. Der Schwachstelle wurde ein CVSS v4 Basiswert von 9,1 (Kritisch) zugewiesen, was ein hohes Risikoniveau anzeigt.
Der Angriffsvektor ist netzwerkbasiert und ät; für die Ausnutzung ist keine Authentifizierung erforderlich.
Eine erfolgreiche Ausnutzung könnte zu folgenden führen: unbefugter Zugriff auf Benutzerkonten über die UCP-Schnittstelle, Offenlegung sensibler Benutzerdaten sowie potenzielle Manipulation die Schwachstelle die Systemverfügbarkeit nicht direkt beeinträchtigt, ist der Einfluss auf Vertraulichkeit und Integrität als hoch eingestuft.
Sicherheitslage und Risiko
Die Schwachstelle wurde unter dem Advisory GHSA-m55x-h47x-v3gx vom Sicherheitsforscher chrsmj öffentlich offengelegt. Die Entwickler, um dieses Problem zu beheben. Administratoren werden dringend aufgefordert, unverzglich ein Upgrade durchzufhren: Benutzer 16 sollten auf Version 16.0.45 oder eine neuere Version aktualisieren.
Benutzer 17 sollten auf Version 17.0.7 oder eine neuere Version aktualisieren. Zu den zustzlichen Sicherheitsmanahmen gehren: Sicherstellen, dass alle Standard- oder Vorlagen-Credentials whrend der Einrichtung gendert werden. Zugriff auf das Administrator Control Panel (ACP) mittels VPN, MFA oder SAML einschrnken.
Den FreePBX-Firewall-Modul verwenden, um den Zugriff auf UCP und ACP auf vertrauenswrdige IP-Adressen zu beschrnken. Zugriff aus nicht vertrauenswrdigen oder feindlichen Netzwerken blockieren.
Organisationen sollten zudem bestehende Bereitstellungen berprfen,
Organisationen sollten zudem bestehende Bereitstellungen berprfen, Systeme zu identifizieren, bei denen UCP-Vorlagen aktiviert wurden, ohne dass Credentials gendert wurden.
Die Schwachstelle ging auf einen Code-nderung zurck, die 2021 eingefhrt wurde, und wurde vom Forscher s0nnyWT gemeldet; die Koordination erfolgte durch chrsmj, whrend Sangoma die Behebung entwickelte. Angesichts der einfachen Ausnutzbarkeit und der hohen Auswirkung unterstreicht diese Schwachstelle die anhaltenden Risiken unsicherer Standardkonfigurationen.
Sie betont die Notwendigkeit strenger Credential-Management-Praktiken Unternehmenssystemen. Abi ist Security Editor und Mitautorin bei
Thema weiterverfolgen
Interne Verlinkung
Im Kontext weiterlesen
Diese weiterfuehrenden Links verbinden das Thema mit relevanten Archivseiten, Schlagwoertern und inhaltlich nahen Artikeln.
Technologie Archiv
Weitere Meldungen aus derselben Hauptkategorie.
Mehr von Cyber Security News
Alle veroeffentlichten Inhalte derselben Quelle im Archiv.
US-Unternehmen liefert seltene Erden-Magnete für die Rüstungsindustrie
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Crimson Desert: Zweitbestseller der USA 2026; Tomodachi Life führt April-Charts unter Circanas neuem Tracking-Verfahren an
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Originaltitel
- FreePBX Vulnerability Allow Attackers to Gain Access to User Portals
- Canonical
- https://cybersecuritynews.com/freepbx-vulnerability/
- Quell-URL
- https://cybersecuritynews.com/freepbx-vulnerability/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
US-Unternehmen liefert seltene Erden-Magnete für die Rüstungsindustrie
Die Defense Logistics Agency (DLA) hat dem Advanced Magnet Lab (AML) einen Vertrag über 2 Millionen US-Dollar für die Qualifizierung , in den USA hergestellten Sinter-NdFeB-Magneten (Neodymeisenbor) fü
20.05.2026
Live Redaktion
Crimson Desert: Zweitbestseller der USA 2026; Tomodachi Life führt April-Charts unter Circanas neuem Tracking-Verfahren an
Wie jeden Monat hat Mat Piscatella, Geschäftsführer , die Verkaufscharts der meistverkauften Videospiele in den Vereinigten Staaten für den vergangenen Monat veröffentlicht.
20.05.2026
Live Redaktion
Vier Haushaltsgeräte mit tiefen Rabatten bei Costco im Mai 2026
Um noch mehr für Ihr Geld zu erhalten, bietet Costco bei Ihrem Einkauf zusätzliche Vorteile an. Dazu können kostenloser Zustellservice, Abhol-Service und sogar eine grundlegende Installation gehören.
20.05.2026
Live Redaktion
Physikgleichungen kartieren Gedächtnisverzerrungen
Zusammenfassung: Eine revolutionäre, interdisziplinäre Studie wird versuchen zu entschlüsseln, wie intensive menschliche Emotionen unser Gedächtnis verzerren und umgestalten.
20.05.2026
Live Redaktion