Résumé
Le 3 février 2026, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans FreePBX, un logiciel de gestion de téléphonie développé par Sangoma. Référencée sous CVE-2019-19006, cette vulnérabilité permet à un attaquant non authentifié de contourner l’authentification par mot de passe et d’accéder aux services administrateur de FreePBX sans autorisation.]
Solutions
Mettez à jour votre FreePBX vers une version récente en installant le module « framework » corrigé depuis le site du fabricant Sangoma. Si vous utilisez un service cloud, suivez les directives BOD 22-01 de la CISA. Vérifiez votre version actuelle dans l’interface admin, téléchargez les mises à jour de sécurité automatiques si activées, et redémarrez le système. Si aucune mise à jour n’est disponible, arrêtez d’utiliser le produit pour éviter les risques.
Details techniques
Score CVSS : 9.8
EPSS : 2.41%
Risques : Accès non autorisé à l’interface admin
Systèmes affectés
• FreePBX 15.0.16.26 et versions inférieures
• FreePBX 14.0.13.11 et versions inférieures
• FreePBX 13.0.197.13 et versions inférieures
Documentation
Référence :
https://wiki.freepbx.org/display/FOP/2019-11-20+Remote+Admin+Authentication+Bypass
Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2019-19006
CVE Details
https://www.cvedetails.com/cve/CVE-2019-19006/
Reference CVE
https://www.cve.org/CVERecord?id=CVE-2019-19006
CWE
https://www.cvedetails.com/cwe-details/CWE-287