企业官网建设流程全解析

外贸跨境电商网站建设开发,网站的优化什么做,开发公司成本部年终总结,廊坊哪里能够做网站聚焦源代码安全#xff0c;网罗国内外最新资讯#xff01;编译#xff1a;代码卫士开源的 PBX 平台 FreePBX 上存在多个漏洞#xff0c;其中一个严重漏洞在某些配置下课导致认证绕过漏洞。这些漏洞由 Horizon3.ai 团队发现并在2025年9月15日报送给项目维护人员。这些漏洞如…聚焦源代码安全网罗国内外最新资讯编译代码卫士开源的 PBX 平台 FreePBX 上存在多个漏洞其中一个严重漏洞在某些配置下课导致认证绕过漏洞。这些漏洞由 Horizon3.ai 团队发现并在2025年9月15日报送给项目维护人员。这些漏洞如下CVE-2025-61675CVSS评分8.6FreePBX终端管理模块中存在多个SQL注入漏洞影响以下配置功能区域中的多个参数基站设置、型号设置、固件设置、自定义分机设置。利用此该漏洞需通过已知有效的用户名凭证进行身份认证。CVE-2025-61678CVSS评分8.6认证的任意文件上传漏洞可导致攻击者利用固件上传端点在获得有效的PHPSESSID后上传 PHP web shell并运行任意命令泄露敏感文件的内容例如 “/etc/passwd”。CVE-2025-66039CVSS评分9.3认证绕过漏洞当“授权类型”即 AUTHTYPE设置为 “webserver”时会触发可导致攻击者通过一个伪造的Authorization 标头登录到管理员控制台。值得注意的是该认证绕过漏洞在FreePBX的默认配置下不可利用因为仅当高级设置中的以下三项值均设为“是”时才会显示“认证类型”选项显示友好姓名显示只读设置以及覆写只读设置然而一旦满足上述前提条件攻击者便能通过构造特定HTTP请求绕过认证机制将恶意用户插入 “ampusers” 数据库表中其效果与CVE-2025-578192025年9月披露的另一个已遭在野利用的FreePBX漏洞高度相似。Horizon3.ai团队安全研究员Noah King在上周发布的报告中指出“这些漏洞极易被利用可允许经过认证或未经认证的远程攻击者在受影响的FreePBX实例上实现远程代码执行。”相关漏洞已在以下版本中修复:CVE-2025-61675 与 CVE-2025-6167816.0.92与17.0.6版本2025年10月14日修复CVE-2025-6603916.0.44与17.0.23版本2025年12月9日修复此外高级设置中的认证提供程序选项现已被移除用户需通过命令行工具fwconsole手动配置。作为临时缓解措施FreePBX建议用户将“认证类型”设置为“usermanager”、将“覆盖只读设置”设为“否”、应用新配置并重启系统以断开所有异常会话。FreePBX强调称“若发现web服务器认证类型被意外启用应立即全面排查系统可能存在的入侵迹象。”用户登录仪表板时也会看到安全警告提示“webserver”认证类型相比“usermanager” 可能存在安全性降低的风险。为获得最佳防护效果建议避免使用该认证类型。King进一步表示“需要特别注意的是存在漏洞的底层代码仍然存在其安全性依赖于前置认证层来保护FreePBX实例的访问权限。攻击仍需在Authorization请求头中携带经过Base64编码的用户名和密码凭证。根据具体接口的不同我们注意到部分端点需要有效用户名。而在其它情况如前述文件上传漏洞中无需有效用户名即可通过几个步骤实现远程代码执行。最佳实践是避免使用‘webserver’认证类型这似乎是遗留代码中的安全隐患。”开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读FreePBX服务器紧急修复已遭利用0day用AI攻击AIRay AI开源框架中的老旧漏洞被用于攻击集群《中国开源发展深度报告2024》发布奇安信聚焦开源安全参与编制开源项目mcp-remote 中存在严重漏洞可导致RCE原文链接https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-day-flaws-exploited-in-sophisticated-attacks/题图Pixabay License本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~