CVE-2026-53648 in FOSSBilling
Zusammenfassung
von VulDB • 07.07.2026
FOSSBilling ist ein kostenloses Open-Source-Billingsystem und Kundenverwaltungssystem. Vor Version 0.8.1 werden herunterladbare Produktdateien unter Verwendung eines deterministischen, vom Dateinamen abgeleiteten Pfads gespeichert. Wenn ein Administrator eine Datei für ein herunterladbares Produkt hochlädt, speichert FOSSBilling die Datei als `md5(<ursprünglicher Dateiname>)` im Upload-Verzeichnis. Da der gespeicherte Pfad nur vom clientseitig bereitgestellten Dateinamen abhängt, führen zwei verschiedene herunterladbare Produkte bzw. Produkt-/Bestelldateien, die mit demselben ursprünglichen Dateinamen hochgeladen werden, zum selben gespeicherten Datei-Pfad. Ein späterer Upload kann einen früheren Überschreiben, wodurch Kunden oder Administratoren, die das frühere Produkt herunterladen, stattdessen die spätere Datei erhalten. Version 0.8.1 behebt dieses Problem. Es sind einige Workarounds verfügbar. Beschränken Sie die Berechtigung `servicedownloadable.manage` ausschließlich auf vollständig vertrauenswürdige Administratoren. Als operative Gegenmaßnahme stellen Sie sicher, dass herunterladbare Produktdateien vor dem Upload eindeutige Dateinamen verwenden. Dies reduziert zufällige Kollisionen, behebt das zugrunde liegende Problem jedoch nicht vollständig.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.