FreePBX の脆弱性 CVE-2026-46376 が FIX:ユーザーポータルへの不正アクセスを招く恐れ

FreePBX Security Flaw Lets Attackers Access User Portals

2026/05/20 gbhackers — 広く利用されているオープンソース・プラットフォーム FreePBX において、特定の条件下で未認証の攻撃者に対してユーザーポータルへのアクセスを許す、深刻なセキュリティ脆弱性が発見された。 この脆弱性 CVE-2026-46376 (CVSS v4:9.1) を悪用する攻撃者は、userman モジュールを介して User Control Panel (UCP) に影響を及ぼす。

FreePBX セキュリティの脆弱性

GitHub 上で公開された公式アドバイザリ GHSA-m55x-h47x-v3gx によると、この問題は UCP テンプレートのセットアップ・プロセスにおけるハードコードされた認証情報の使用に起因する。管理者が、この機能を有効化した後に、デフォルト認証情報を変更しない場合に、それを悪用する攻撃者による不正アクセスが可能となる。

この問題は、以下のバージョンに影響する。

  • FreePBX 16 における userman モジュール 16.0.45 未満
  • FreePBX 17 における userman モジュール 17.0.7 未満

すでに FreePBX は、修正版をリリースし、この問題に対処している。ユーザーに対して強く推奨されるのは、速やかなアップデートの実施である。

この脆弱性は、アプリケーション内部に埋め込まれた静的な認証情報に、システムが依存する際に生じる、ハードコードされた認証情報の使用 (CWE-798) に分類される。 

これらのデフォルト認証情報は、デプロイを簡素化するために設計された、オプションの UCP 汎用テンプレート設定機能の一部として導入されている。

初期設定には、Administrator Control Panel (ACP) への認証済みアクセスが必要であるが、その後の設定変更を怠ることで、この脆弱性 CVE-2026-46376 のリスクが顕在化する。つまり、管理者がテンプレート認証情報を手動で更新またはランダム化しない場合に、ネットワーク上の未認証ユーザーからのアクセスが可能になる。 

この脆弱性をリモートから悪用する攻撃者は、認証やユーザー操作を必要としない。この攻撃が成功すると、UCP 内の機密性の高いユーザーデータへの不正アクセスにつながり、機密性/完全性に影響が生じる可能性がある。

この脆弱性は 2021 年に混入し、その後の長期間にわたって未検出だった問題である。適切なハードニングが行われていない、多数の導入環境に影響を及ぼす可能性がある。

セキュリティ研究者たちは警告を発し、デフォルトまたは未変更の認証情報を使用した状態で、インターネットに公開されている FreePBX インスタンスが、スキャンされる可能性を指摘している。攻撃の複雑性が低く、ネットワーク経由での悪用が可能なベクターであるため、この脆弱性は、特にインターネット公開環境において深刻なリスクとなる。

対策および推奨事項

管理者は、以下を直ちに実施すべきである。

  • userman モジュールを 16.0.45/17.0.7 以降へと更新する。
  • すべてのデフォルトのテンプレート認証情報を変更/ランダム化する。
  • VPN/MFA/SAML 認証を使用して ACP へのアクセスを制限する。
  • ファイアウォール・ルールを使用して、UCP/ACP インターフェイスの公開範囲を制限する。
  • FreePBX ファイアウォールの設定を実施し、信頼済み IP/登録済み SIP デバイスからのアクセスのみに制限する。

さらに、脆弱または未変更の認証情報に関する監査を実施し、不審なアクセスログやアクティビティを確認することが推奨される。

この脆弱性は s0nnyWT により報告され、FreePBX メンテナにより調整され、Sangoma により修正が開発された。音声通信基盤として FreePBX を利用する組織は、迅速なパッチ適用およびセキュアな設定を優先し、不正アクセスや潜在的なデータ漏洩を防止する必要がある。

今回の FreePBX の脆弱性 CVE-2026-46376 は、システムのセットアップ時にデプロイを簡単にする目的で用意されたテンプレート機能の中に、変更されずに残存するハードコードされた認証情報に起因します。初期設定の段階では認証が必要ですが、その後に、管理者による手動での設定変更やランダム値への更新が行われないと、ネットワーク経由で誰もがアクセスできる状態になってしまいます。開発時の利便性を重視した設計が、結果として未認証でのリモートアクセスを許すセキュリティ上の弱点へとつながっています。ご利用のチームは、ご注意ください。よろしければ、FreePBX での検索結果も、ご参照ください。