FreePBX /admin/config.php 默认口令漏洞

影响产品：FreePBX CVSS：8.1 漏洞类型：默认口令 漏洞描述： FreePBX是由Sangoma公司开发和维护的开源IP PBX（Private Branch Exchange）电话交换系统，基于Asterisk通信框架构建，提供图形化管理界面、呼叫路由、语音信箱、IVR（交互式语音应答）、会议桥接、队列管理和SIP中继等核心功能，广泛应用于中小企业通信、呼叫中心、酒店物业和政府机构的电话系统部署。FreePBX默认管理员凭据为admin:admin，攻击者可利用该默认凭据登录管理后台，完全控制PBX系统，修改呼叫路由、窃听通话、篡改语音信箱和添加后门分机。 影响： 攻击者可利用默认凭据登录FreePBX管理后台，完全控制PBX电话交换系统，修改呼叫路由规则、窃听通话记录、篡改语音信箱内容、添加后门分机号码、拨打高额付费电话、窃取企业通讯录，造成严重的信息泄露和经济损失。 修复建议： 1、修改默认口令，密码最好包含大小写字母、数字和特殊字符等，且位数大于8位。2、如非必要，禁止公网访问该系统。3、通过防火墙等安全设备设置访问策略，设置白名单访问。 FOFA： body="BRAND_IMAGE_FREEPBX_LINK_LEFT" && body="images/freepbx_small.png"