CVE-2026-33734 in FOSSBillinginfo

Summary

by MITRE • 07/06/2026

FOSSBilling is a free, open-source billing and client management system. Versions 0.6.0 through 0.7.2 have a SQL injection vulnerability in the `Massmailer` module filter functionality. An authenticated administrator can supply crafted filter values when updating a mass email message, causing untrusted input to be interpolated directly into SQL in the recipient selection query. Version 0.8.0 patches the issue. Some workarounds are available. Restrict administrator access to trusted users only, disable the `Massmailer` module if it is not required, audit existing records in the `mod_massmailer` table for suspicious filter values, and/or review administrator activity related to `Massmailer` message updates.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Analysis

by VulDB Data Team • 07/07/2026

The FOSSBilling SQL injection vulnerability存在于0.6.0至0.7.2版本的Massmailer模块过滤功能中,这是一个严重的安全缺陷,允许经过身份验证的管理员通过恶意构造的过滤器值来执行SQL注入攻击。该漏洞利用了应用程序在处理邮件接收者选择查询时对用户输入的不充分验证和转义机制,使得未经验证的数据直接被插入到SQL查询语句中,从而为攻击者提供了执行任意SQL命令的机会。这种类型的漏洞属于CWE-89 SQL注入标准分类,是web应用程序中最危险的安全缺陷之一。攻击者可以利用此漏洞获取敏感数据、修改数据库内容、甚至完全控制受影响的系统。

从技术实现角度来看,该漏洞发生在管理员更新批量邮件消息时的过滤器处理阶段,当用户输入被直接用于构建SQL查询语句而未经过适当的安全检查和参数化处理时,就产生了可被利用的注入点。由于FOSSBilling是一个计费和客户管理系统,攻击者一旦成功利用此漏洞,可能访问到客户的敏感信息、财务数据以及系统配置信息。这种攻击模式符合ATT&CK框架中的T1071.004应用程序层协议和T1566网络钓鱼等攻击技术,因为攻击者可能通过这种方式获取更多系统权限并进行横向移动。

该漏洞的运营影响极为严重,因为它允许具有管理员权限的攻击者绕过正常的访问控制机制,直接对数据库进行操作。在实际环境中,这可能导致客户数据泄露、财务记录篡改、系统完整性受损等后果。受影响的版本涵盖了FOSSBilling的多个主要发行版,表明这是一个长期存在的安全问题,在0.8.0版本中得到了修复。根据行业最佳实践,建议立即采取多层防护措施来缓解此风险,包括限制管理员访问权限仅允许可信用户、在不需要时禁用Massmailer模块、审计mod_massmailer表中的可疑过滤器值,以及审查与Massmailer消息更新相关的管理员活动日志。这些措施不仅符合NIST网络安全框架要求,也体现了纵深防御原则,能够有效降低攻击成功的可能性并减少潜在损害。

为了确保系统安全,建议系统管理员立即升级到0.8.0或更高版本,并实施严格的身份验证和访问控制策略。同时应该定期审查和更新安全配置,监控异常的数据库活动模式,并建立完善的日志审计机制来及时发现和响应潜在的安全威胁。此外,对所有管理员用户进行安全意识培训,提高其识别和防范此类攻击的能力,也是保障系统整体安全的重要组成部分。

Responsible

GitHub M

Reservation

03/23/2026

Disclosure

07/06/2026

Moderation

accepted

CPE

ready

EPSS

0.00000

KEV

no

Activities

very low

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!