更新時間:2026/02/04 18:01:43
發佈時間:2026/02/04 18:01:43
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、 漏洞說明[1]
Sangoma FreePBX的Endpoint Manager模組存在一項作業系統指令注入漏洞(CVE-2025-64328)。該漏洞源於管理介面中filestore模組的check_ssh_connect()函式,於執行testconnection功能時未妥善處理使用者輸入。具備 FreePBX 管理介面帳號權限的攻擊者,可於受影響系統上執行任意作業系統指令,進而取得以asterisk服務帳號身分執行的遠端系統存取權限。
二、已揭露攻擊活動說明
1. CISA已將CVE-2025-64328納入漏洞利用清單。[2]
2. 外部資安研究人員已公開CVE-2025-64328的PoC程式碼。[3]
▶ 漏洞資訊
⌵
名稱:
CVE-2025-64328
描述:
使用版本:CVSS 4.0
分析分數:8.6
參考來源: Sangoma FreePBX安全公告
▶ 影響平台
⌵
影響平台-系統:
1. FreePBX 17 filestore模組17.0.2.36(含)以上且低於17.0.3版本受影響,建議升級至17.0.3或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
2. 建議確認FreePBX管理介面(Administrator Control Panel, ACP)僅開放授權使用者存取。
3. 建議限制FreePBX管理介面來自不受信任網路的存取,並可使用FreePBX內建防火牆模組進行控管。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://github.com/FreePBX/security-reporting/security/advisories/GHSA-vm9p-46mv-5xvw | Sangoma FreePBX安全公告 |
| 2 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
| 3 | https://theyhack.me/CVE-2025-64328-FreePBX-Authenticated-Command-Injection/ | 公開漏洞分析報告 |
情資編號:
FISAC-200-202602-0003
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞