FreePBX is an open source IP PBX. Prior to 17.0.8, the FreePBX api module's OAuth2 implementation does not sufficiently validate client credentials during token issuance. Knowledge of a valid client_id is required. The validateClient() method in ClientRepository.php unconditionally returns true, allowing any party with knowledge of a valid client_id to obtain OAuth2 access tokens without providing the correct client_secret. This vulnerability is fixed in 17.0.8.
FreePBX versions prior to 17.0.8 contain an OAuth2 authentication bypass vulnerability in the API module where the validateClient() method fails to properly validate client credentials. An attacker with knowledge of a valid client_id can obtain access tokens without providing the correct client_secret, potentially gaining unauthorized access to PBX systems.
يحتوي FreePBX على ثغرة في وحدة OAuth2 API حيث تفشل طريقة validateClient() في التحقق الصحيح من بيانات اعتماد العميل. يمكن لأي طرف لديه معرفة بـ client_id صحيح الحصول على رموز الوصول دون تقديم client_secret الصحيح. تؤثر هذه الثغرة على جميع إصدارات FreePBX قبل 17.0.8.
FreePBX versions prior to 17.0.8 contain an OAuth2 authentication bypass vulnerability in the API module where the validateClient() method fails to properly validate client credentials. An attacker with knowledge of a valid client_id can obtain access tokens without providing the correct client_secret, potentially gaining unauthorized access to PBX systems.
Upgrade FreePBX to version 17.0.8 or later immediately. If immediate upgrade is not possible, disable the OAuth2 API module and implement network-level access controls to restrict API endpoint access to trusted IP addresses only. Review and rotate all OAuth2 client credentials and audit access logs for unauthorized token issuance.
قم بترقية FreePBX إلى الإصدار 17.0.8 أو أحدث على الفور. إذا لم يكن الترقية الفورية ممكنة، قم بتعطيل وحدة OAuth2 API وتطبيق عناصر تحكم على مستوى الشبكة لتقييد الوصول إلى نقاط نهاية API للعناوين الموثوقة فقط. راجع وأعد تعيين جميع بيانات اعتماد عميل OAuth2 وتدقيق سجلات الوصول للتحقق من إصدار الرموز غير المصرح به.