CVE-2026-53645 in FOSSBillinginfo

Zusammenfassung

von VulDB • 07.07.2026

FOSSBilling ist ein kostenloses, quelloffenes Abrechnungs- und Kundenverwaltungssystem. Versionen vor 0.8.0 ermöglichen es einem Mitarbeiterkonto mit niedrigen Berechtigungen, sich selbst beliebige Modulberechtigungen über die Admin-API zu gewähren, was zu einer persistenten Privilegieneskalation führt. Ein Benutzer im Staff-Bereich, der nur über `staff.create_and_edit_staff` verfügt, kann `/api/admin/staff/permissions_update` aufrufen und sein eigenes Konto als Ziel angeben sowie jede beliebige Berechtigungsstruktur schreiben, wodurch die beabsichtigte rolle-basierte Zugriffskontrollgrenze umgangen wird. Version 0.8.0 behebt das Problem. Es sind einige Workarounds verfügbar. Beschränken Sie die `staff.create_and_edit_staff`-Berechtigung auf nur hochvertrauenswürdige Staff-Mitglieder und/oder verwenden Sie einen Reverse-Proxy oder eine WAF, um den Zugriff auf `/api/admin/staff/permissions_update` auf bestimmte vertrauenswürdige Rollen zu beschränken.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

09.06.2026

Veröffentlichung

07.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376573

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!