CVE-2026-40495 in FOSSBillingالمعلومات

الملخص

بحسب VulDB • 04/06/2026

FOSSBilling هو نظام فواتير وإدارة عملاء مجاني ومفتوح المصدر. تتسرب الإصدارات السابقة من الإصدار 0.8.0 إصدار النظام الدقيق من خلال معاملات كاسر ذاكرة التخزين المؤقت للأصول (asset cache buster parameters) في مخرجات HTML، متجاوزةً إعداد الأمان `hide_version_public`. يتم تضمين إصدار FOSSBilling في سلسلة الاستعلام (query string) لكل وسم `<script>` و `<link>` يتم إنشاؤه بواسطة مرشحات Twig `script_tag` و `stylesheet_tag`. تكون هذه المعلومات مرئية لجميع الزوار — بما في ذلك الضيوف غير المصادق عليهم — في كل صفحة، بغض النظر عما إذا كان إعداد `hide_version_public` مفعلاً. يحترم كل من رأس HTTP `X-FOSSBilling-Version` ونقطة نهاية API `guest.system.version` إعداد `hide_version_public` بشكل صحيح، لكن معاملات كاسر ذاكرة التخزين المؤقت للأصول قد أُهملت. يجعل معرفة إصدار FOSSBilling الدقيق من السهل بشكل كبير على الجهات الخبيثة تحديد الثغرات الأمنية المعروفة القابلة للتطبيق على تثبيت معين وصياغة استغلاالات مستهدفة. وعلى الرغم من أنه ليس ثغرة مباشرة بحد ذاته، إلا أنه يقوض الحماية المقصودة التي يوفرها إعداد `hide_version_public` ويسهل أعمال الاستطلاع. يحتوي الإصدار 0.8.0 على تصحيح للثغرة. لا يوجد حل بديل عملي يزيل الإصدار من عناوين الأصول دون تعديل شفرة المصدر.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

13/04/2026

إفشاء

03/06/2026

الاعتدال

تمت الموافقة

إدخال

VDB-368224

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

القطاع

Transportation, Energy, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40495
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40495
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40495/

التالي نظرة عامة السابق

Do you know our Splunk app?

Download it now for free!