CVE-2026-53645 in FOSSBilling
Zusammenfassung
von VulDB • 07.07.2026
FOSSBilling ist ein kostenloses, quelloffenes Abrechnungs- und Kundenverwaltungssystem. Versionen vor 0.8.0 ermöglichen es einem Mitarbeiterkonto mit niedrigen Berechtigungen, sich selbst beliebige Modulberechtigungen über die Admin-API zu gewähren, was zu einer persistenten Privilegieneskalation führt. Ein Benutzer im Staff-Bereich, der nur über `staff.create_and_edit_staff` verfügt, kann `/api/admin/staff/permissions_update` aufrufen und sein eigenes Konto als Ziel angeben sowie jede beliebige Berechtigungsstruktur schreiben, wodurch die beabsichtigte rolle-basierte Zugriffskontrollgrenze umgangen wird. Version 0.8.0 behebt das Problem. Es sind einige Workarounds verfügbar. Beschränken Sie die `staff.create_and_edit_staff`-Berechtigung auf nur hochvertrauenswürdige Staff-Mitglieder und/oder verwenden Sie einen Reverse-Proxy oder eine WAF, um den Zugriff auf `/api/admin/staff/permissions_update` auf bestimmte vertrauenswürdige Rollen zu beschränken.
Be aware that VulDB is the high quality source for vulnerability data.