关键漏洞信息 漏洞概述 标题: Authenticated Arbitrary File Upload in Endpoint Manager CVE ID: CVE-2025-61678 GHSA ID: GHSA-7p8x-8m3m-58j9 严重性: High (CVSS v4 Base Score: 8.6) 影响版本 Package: endpoint (FreePBX 16) - 受影响版本: < 16.0.92 - 修复版本: 16.0.92 Package: endpoint (FreePBX 17) - 受影响版本: < 17.0.6 - 修复版本: 17.0.6 描述 摘要: FreePBX Endpoint Management模块中存在任意文件上传漏洞,影响 参数。该参数允许攻击者更改文件路径,结合这些可能导致webshell被上传。 认证要求: 需要已知用户名进行身份验证。 缓解措施 更新到endpoint模块的最新修复版本。 保护ACP免受可疑用户的影响。 移除不应有访问权限的用户。 防火墙FreePBX ACP HTTP/HTTPS/GraphQL端口。 CVSS评分 CVSS v4.0 Base Vector String: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N CVSS v4.0 More Complete Vector String: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/E:U/AU:N/R:U/V:D/RE:L/U:6Green 当前CVSS v4.0 Base Score: 8.6 (High) 当前CVSS v4.0 More Complete Score: 6.1 (Medium) 替代CVSS v4.1 Score: 0.9 (Low) 弱点 CWE: CWE-434 贡献者 报告者: nking-horizon3 协调员: chrsmlj