Numéro de série : AV26-711
Date : 17 juillet 2026
Le 17 juillet 2026, FreePBX a publié des bulletins de sécurité visant à corriger des vulnérabilités liées aux produits suivants. Ces mises à jour de sécurité comprenaient des correctifs critiques pour les produits suivants :
- FreePBX Security-Reporting ucp (FreePBX 17) – versions antérieures à 17.0.9;
- FreePBX Security-Reporting missedcall (FreePBX 16) – versions antérieures à 16.0.11;
- FreePBX Security-Reporting missedcall (FreePBX 16) – versions antérieures à 17.0.6;
- FreePBX Security-Reporting tts (FreePBX 17) – versions antérieures à 17.0.6;
- FreePBX Security-Reporting tts (FreePBX 16) – versions antérieures à 16.0.6;
- FreePBX Security-Reporting music (FreePBX 17) – versions antérieures à 17.0.7;
- FreePBX Security-Reporting framework (FreePBX 16) – versions antérieures à 16.0.47;
- FreePBX Security-Reporting framework (FreePBX 17) – versions antérieures à 17.0.30.
Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter les pages Web ci-dessous, appliquer les mises à jour nécessaires et de suivre les mesures d’atténuation recommandées.
- Unauthenticated remote code execution in FreePBX UCP via socket.io namespace auth bypass and AMI action injection (en anglais seulement)
- Unauthenticated SQL injection in FreePBX missedcall via inbound Caller ID name leads to administrator takeover (en anglais seulement)
- Authenticated TTS AGI Command Injection Through TTS Name (en anglais seulement)
- Authenticated FreePBX Music RCE via mpg123 and Asterisk Call Files (en anglais seulement)
- Authenticated Framework AUTHTYPE Can Be Restored From a Crafted Backup (en anglais seulement)
- FreePBX Security Advisories (en anglais seulement)