CVE-2026-46376として追跡される この脆弱性は、CVSS v4.0ベーススコア 9.1(Critical) を持ち、広く展開されているFreePBX 16および17プラットフォームに影響します。
CWE-798(ハードコードされた認証情報の使用) に分類されるこの脆弱性は、FreePBXのユーザー管理モジュール内のオプショナルUCPジェネリックテンプレート設定プロセスに存在します。
管理者がこの設定フローを使用して大規模なUCP導入を簡素化する場合、ハードコードされたサンプル認証情報がデフォルトで埋め込まれます。
これらの認証情報が設定後に一度も変更されない場合、ネットワーク上の認証されていないユーザーは、これらを悪用して 権限なし、ユーザー操作なし、複雑な攻撃チェーン不要で、ポータルに不正にアクセスできます。
カナダのサイバーセンターも2026年5月15日に正式なアドバイザリー(AV26–474)を発行し、管理者に必要なアップデートをすぐに適用するよう促しています。
過去のコミット分析によると、この脆弱性が2021年にFreePBXの userman コードベースに静かに導入されたことが明らかになりました。これは、過去4年間のいつでもデフォルト認証情報を変更することなくUCPジェネリックテンプレート設定を実行していたシステムが、知らないうちに露出していたことを意味します。
この発見は、FreePBXのセキュリティ履歴における悩ましいパターンを反映しています。プラットフォームは近年、複数の重大な脆弱性に直面しており、 CVE-2025-57819を含む、CVSSスコア9.8のゼロデイ認証回避脆弱性で、リモートコード実行を可能にし、野生での悪用が確認されています。
2026年初頭に、 CVE-2026-28287 がレコーディングモジュール内のコマンドインジェクション脆弱性を露出させ、プラットフォームの拡大した攻撃サーフェスをさらに強調しています。
CVE-2026-46376の成功した悪用は、 脆弱なシステムに対する高い機密性と整合性への影響 をもたらします。攻撃者は機密のユーザーデータを読み取り、ポータル構成を変更する可能性があります。
CVSS v4.0ベーススコアは9.1(Critical)ですが、基本脅威環境補足(BTES)スコアは 6.9(Medium) と評価されており、ハードコードされた認証情報が未変更のままである必要があることと、現在野生でのエクスプロイトコードの証拠がないことを反映しています。
FreePBXを実行している組織は、遅延なく次の手順を実行する必要があります。
エンタープライズテレフォニー、ホスティングPBX、またはコールセンター環境でFreePBXを実行している組織は、このパッチを優先すべきです。特にプラットフォームの活発な悪用履歴とハードコードされた認証情報の脆弱性を悪用する低い複雑性を考慮すると。
翻訳元: https://cyberpress.org/freepbx-flaw-exposes-user-portals/
