CVE-2026-43924 in FOSSBillingالمعلومات

الملخص

بحسب VulDB • 03/06/2026

FOSSBilling هو نظام فواتير وإدارة عملاء مجاني ومفتوح المصدر. قبل الإصدار 0.8.0، لا تقوم وحدة إعادة التوجيه (Redirect) بالتحقق من صحة مخطط عنوان URL (URL scheme) لعناوين URL الوجهة التي يضبطها المسؤول قبل تخزينها أو إصدار إعادة التوجيه إليها. يسمح هذا بتكوين عناوين URL خارجية عشوائية كأهداف لإعادة التوجيه، مما يخلق ثغرة إعادة توجيه مفتوحة (Open Redirect) يمكن استغلالها في هجمات التصيد الاحتيالي (Phishing). يمكن إعادة توجيه المستخدمين الذين يتبعون عنوان URL شرعيًا لـ FOSSBilling بصمت إلى موقع خارجي يتحكم فيه المهاجم. تُصدر إعادة التوجيه استجابة برمز 301 (تم النقل بشكل دائم)، والتي تقوم المتصفحات بتخزينها بشكل دائم، مما يضخم من تأثير الثغرة. يتطلب الاستغلال صلاحيات المسؤول لإنشاء أو تعديل إدخالات إعادة التوجيه، مما يحد من سيناريوهات الهجوم العملية إلى بيئات متعددة المسؤولين أو حسابات المسؤولين المخترقة. يصحح الإصدار 0.8.0 هذه المشكلة. تتوفر بعض الحلول البديلة. قيّد الوصول إلى وحدة إعادة التوجيه للمسؤولين الموثوقين فقط و/أو قم بمراجعة إدخالات إعادة التوجيه الموجودة في قاعدة البيانات (جدول `extension_meta` مع `extension = 'mod_redirect'`) بحثًا عن أي عناوين URL وجهات خارجية غير متوقعة.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

04/05/2026

إفشاء

03/06/2026

الاعتدال

تمت الموافقة

إدخال

VDB-368221

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider, Industry, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43924
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43924
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43924/

التالي نظرة عامة السابق

Interested in the pricing of exploits?

See the underground prices here!