CVE-2026-53646 in FOSSBillinginfo

Zusammenfassung

von VulDB • 07.07.2026

FOSSBilling ist ein kostenloses Open-Source-Billing- und Kundenverwaltungssystem. In den Versionen 0.5.6 bis 0.7.2 wird, wenn bereits eine `ClientPasswordReset`-Aufzeichnung für einen Kunden vorliegt (aus einer vorherigen, noch nicht abgelaufenen Zurücksetzanfrage), bei nachfolgenden Aufrufe des Gast-API-Endpunkts `reset_password` das vorhandene Token wiederverwendet, anstatt ein neues zu generieren. Das 15-minütige Gültigkeitsfenster ist am Zeitstempel `created_at` der ersten Anfrage verankert und nicht an den Zeitpunkt der neuesten E-Mail. Ein Angreifer, der den ursprünglichen Zurücksetzlink erhalten hat, kann ihn weiterhin nutzen, auch nachdem das Opfer eine neue Zurücksetzung angefordert hat, da das ursprüngliche Token niemals ungültig gemacht oder rotiert wird. Version 0.8.0 behebt dieses Problem. Es sind einige Workarounds verfügbar. Konfigurieren Sie einen Reverse-Proxy (z. B. Nginx, Apache, Cloudflare), um pro IP-Ratenbegrenzung für den Endpunkt `/client/reset-password` anzuwenden, um das Zeitfenster der Gelegenheit zu minimieren, und/oder löschen Sie manuell abgelaufene `client_password_reset`-Aufzeichnungen aus der Datenbank, nachdem ein Kunde einen vermuteten Kompromiss gemeldet hat.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

09.06.2026

Veröffentlichung

07.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376569

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!