-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheid verholpen in FreePBX
Advisory ID     : NCSC-2025-0272
Versie          : 1.00
Kans            : high
CVE ID          : CVE-2025-57819
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Improper Neutralization of Special Elements used in an
                  SQL Command ('SQL Injection')
                  Authentication Bypass Using an Alternate Path or
                  Channel
Uitgiftedatum   : 20250829
Toepassing      : FreePBX security-reporting
Versie(s)       :
Platform(s)     :

Beschrijving
   FreePBX heeft een kwetsbaarheid verholpen in versies 15, 16 en 17.

   De kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde
   toegang te krijgen en mogelijk op afstand code uit te voeren, door
   misbruik te maken van een validatie- en saneringfout in de verwerking
   van door gebruikers aangeleverde invoer, zoals in de "endpoint"
   module.
   FreePBX meldt dat actief misbruik heeft plaatsgevonden op meerdere
   systemen met FreePBX versie 16 en 17 die voorzien waren van
   onvoldoende IP-filtering en ACLs en waarbij het managementinterface
   rechtstreeks verbonden was met het internet.

Mogelijke oplossingen
   * FreePBX heeft updates uitgebracht om de kwetsbaarheid te verhelpen
   en geeft het advies om te bevestigen dat de geïnstalleerde "endpoint"
   module voldoet aan de minimaal gepatchte versies.
   * Systemen die niet automatisch updaten, of gebruikers die handmatig
   willen bijwerken, kunnen dit doen via het Administrator Control Panel
   menu.
   * Het NCSC adviseert de update zo spoedig mogelijk te installeren en
   je systeem te controleren op aanwezigheid IOC's wanneer je je
   managementinterface naar het internet hebt ontsloten.
   * Ontsluiten van de managementinterface aan het internet is alleen
   aan te raden in gevallen waarin dit noodzakelijk is. In die gevallen
   is het advies om deze slechts bereikbaar te maken vanaf specifieke IP
   adressen en eventueel met gebruik van een VPN.
   * Meer informatie, waaronder beschikbare IOC's, zijn te vinden op de
   website van FreePBX. Deze is als referentie aan dit
   beveiligingsadvies toegevoegd.

   Referenties:
      Reference
      https://community.freepbx.org/t/security-advisory-please-lock-
      down-your-administrator-access/107203

      Reference
      https://github.com/FreePBX/security-
      reporting/security/advisories/GHSA-m42g-xg4c-5f3h

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=y9n6
-----END PGP SIGNATURE-----