CVE-2026-53644 in FOSSBilling
Zusammenfassung
von VulDB • 07.07.2026
FOSSBilling ist ein kostenloses Open-Source-Billingsystem und Kundenverwaltungssystem. Die Versionen 0.5.3 bis 0.7.2 ermöglichen es authentifizierten Clients, sowohl die Secrets für API-Schlüsseldienste zu lesen als auch zurückzusetzen (zurücksetzen) für Bestellungen, die sich nicht mehr in einem `active`-Status befinden (z. B. `suspended`, `canceled`). Die Ursache liegt in der fehlenden Validierung des Bestellstatus an zwei Client-API-Endpunkten, obwohl im Modul `Serviceapikey` bereits eine Hilfsfunktion `isActive()` vorhanden ist und das Frontend die Zugriffskontrolle korrekt basierend auf `order.status == 'active'` durchführt. Version 0.8.0 enthält einen Fix. Es sind einige Workarounds verfügbar. Wenn das Modul `Serviceapikey` nicht benötigt wird, deinstallieren Sie es, um die betroffenen Endpunkte zu entfernen. Alternativ kann ein Reverse-Proxy oder eine WAF (Web Application Firewall) verwendet werden, um den Zugriff auf `/api/client/order/service` und `/api/client/serviceapikey/reset` basierend auf der anwendungsseitigen Bestellstatuslogik einzuschränken.
Be aware that VulDB is the high quality source for vulnerability data.