CSIRT Toscana FreePBX: rilevato sfruttamento in rete della vulnerabilità CVE-2025-64328 (AL02/260303/CSIRT-ITA)
Data:
3 Marzo 2026
Impatto Sistemico
Alto (72.05)
Sintesi
Rilevato lo sfruttamento attivo della una vulnerabilità CVE-2025-64328, con gravità “alta”, in FreePBX, piattaforma open source per la configurazione e la gestione grafica di centralini telefonici basati su Asterisk. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato remoto di eseguire codice sul sistema interessato.
Tipologia
- Remote Code Execution
Descrizione e potenziali impatti
È stato recentemente rilevato lo sfruttamento della vulnerabilità, che interessa FreePBX, la quale impatta le utenze con accesso pannello di amministrazione.
La vulnerabilità, identificata come CVE-2025-64328 e con score CVSS v3.x pari a 7.2, è dovuta alla funzione testconnection -> check_ssh_connect() , vulnerabile a post-authentication command injection. Qualora sfruttata, potrebbe consentire a utenti malintenzionati remoti di eseguire codice arbitrario e ottenere accesso amministrativo ai sistemi target come utente asterisk .
Prodotti e/o versioni affette
FreePBX
- versioni dalla 17.0.2.36 e precedenti la 17.0.3 (esclusa)
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di seguire le indicazioni del bollettino di sicurezza disponibile al link nella sezione Riferimenti.
Riferimenti
- https://github.com/FreePBX/security-reporting/security/advisories/GHSA-vm9p-46mv-5xvw
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-64328
CVE
| CVE-ID |
|---|
| CVE-2025-64328 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 03-03-2026 | 03/03/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
3 Marzo 2026, 12:22