CVE-2025-55739 - 漏洞详情

CVE-2025-55739 (CNNVD-202509-941)

MEDIUM

中文标题:

FreePBX api 信任管理问题漏洞

英文标题:

api: Shared OAuth Signing Key Between Different Instances

CVSS分数: 5.1

发布时间: 2025-09-04 23:22:43

漏洞类型: 信任管理问题

状态: PUBLISHED

数据质量分数: 0.30

数据版本: v3

漏洞描述

中文描述:

FreePBX api是FreePBX开源的一个插件。 FreePBX api 15.0.13之前版本、16.0.2至16.0.14版本和17.0.1至17.0.2版本存在信任管理问题漏洞，该漏洞源于多个系统使用相同的OAuth私钥，可能导致绕过认证。

英文描述:

api is a module for FreePBX@, which is an open source GUI that controls and manages Asterisk© (PBX). In versions lower than 15.0.13, 16.0.2 through 16.0.14, 17.0.1 and 17.0.2, there is an identical OAuth private key used across multiple systems that installed the same FreePBX RPM or DEB package. An attacker with access to the shared OAuth private key could forge JWT tokens, bypass authentication, and potentially gain full access to both REST and GraphQL APIs. Systems with the "api" module enabled, configured and previously activated by an administrator for remote inbound connections may be affected. This issue is fixed in versions 15.0.13, 16.0.15 and 17.0.3.

CWE类型:

CWE-522 CWE-798

受影响产品

厂商	产品	版本	版本范围	平台	CPE
FreePBX	security-reporting	< 15.0.13	-	-	`cpe:2.3:a:freepbx:security-reporting:<_15.0.13:::::::*`
FreePBX	security-reporting	>= 16.0.2, < 16.0.15	-	-	`cpe:2.3:a:freepbx:security-reporting:>=_16.0.2,__<_16.0.15:::::::*`
FreePBX	security-reporting	>= 17.0.1, < 17.0.3	-	-	`cpe:2.3:a:freepbx:security-reporting:>=_17.0.1,_<_17.0.3:::::::*`

解决方案

中文解决方案:

（暂无数据）

英文解决方案:

（暂无数据）

临时解决方案:

（暂无数据）

参考链接

https://github.com/FreePBX/security-reporting/security/advisories/GHSA-3r47-p39v-vqqf x_refsource_CONFIRM
cve.org

访问

https://github.com/FreePBX/api/commit/305295aad38322c74cffd75bf550707dfb1a64a2 x_refsource_MISC
cve.org

访问

CVSS评分详情

4.0 (cna)

MEDIUM

5.1

CVSS向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L

机密性

LOW

完整性

LOW

可用性

LOW

后续系统影响 (Subsequent):

机密性

LOW

完整性

LOW

可用性

LOW

时间信息

发布时间:

2025-09-04 23:22:43

修改时间:

2025-09-05 15:19:50

创建时间:

2025-11-11 15:40:44

更新时间:

2025-11-11 16:00:15

利用信息

暂无可利用代码信息

数据源详情

数据源	记录ID	版本	提取时间
CVE	`cve_CVE-2025-55739`	2025-11-11 15:23:29	2025-11-11 07:40:44
NVD	`nvd_CVE-2025-55739`	2025-11-11 15:01:01	2025-11-11 07:48:31
CNNVD	`cnnvd_CNNVD-202509-941`	2025-11-11 15:12:56	2025-11-11 08:00:15

版本与语言

当前版本: v3

主要语言: EN

支持语言:

EN ZH

安全公告

暂无安全公告信息

变更历史

v3 CNNVD

2025-11-11 16:00:15

vulnerability_type: 未提取 → 信任管理问题; cnnvd_id: 未提取 → CNNVD-202509-941; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']

查看详细变更

vulnerability_type: 未提取 -> 信任管理问题
cnnvd_id: 未提取 -> CNNVD-202509-941
data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']

v2 NVD

2025-11-11 15:48:31

data_sources: ['cve'] → ['cve', 'nvd']

查看详细变更

data_sources: ['cve'] -> ['cve', 'nvd']

CVE-2025-55739 (CNNVD-202509-941)

中文标题:

FreePBX api 信任管理问题漏洞

英文标题:

api: Shared OAuth Signing Key Between Different Instances

漏洞描述

中文描述:

英文描述:

CWE类型:

标签:

受影响产品

解决方案

中文解决方案:

英文解决方案:

临时解决方案:

参考链接

CVSS评分详情

4.0 (cna)

时间信息

利用信息

数据源详情

版本与语言

安全公告

变更历史