CVE-2026-53648 in FOSSBillinginfo

Zusammenfassung

von VulDB • 07.07.2026

FOSSBilling ist ein kostenloses Open-Source-Billingsystem und Kundenverwaltungssystem. Vor Version 0.8.1 werden herunterladbare Produktdateien unter Verwendung eines deterministischen, vom Dateinamen abgeleiteten Pfads gespeichert. Wenn ein Administrator eine Datei für ein herunterladbares Produkt hochlädt, speichert FOSSBilling die Datei als `md5(<ursprünglicher Dateiname>)` im Upload-Verzeichnis. Da der gespeicherte Pfad nur vom clientseitig bereitgestellten Dateinamen abhängt, führen zwei verschiedene herunterladbare Produkte bzw. Produkt-/Bestelldateien, die mit demselben ursprünglichen Dateinamen hochgeladen werden, zum selben gespeicherten Datei-Pfad. Ein späterer Upload kann einen früheren Überschreiben, wodurch Kunden oder Administratoren, die das frühere Produkt herunterladen, stattdessen die spätere Datei erhalten. Version 0.8.1 behebt dieses Problem. Es sind einige Workarounds verfügbar. Beschränken Sie die Berechtigung `servicedownloadable.manage` ausschließlich auf vollständig vertrauenswürdige Administratoren. Als operative Gegenmaßnahme stellen Sie sicher, dass herunterladbare Produktdateien vor dem Upload eindeutige Dateinamen verwenden. Dies reduziert zufällige Kollisionen, behebt das zugrunde liegende Problem jedoch nicht vollständig.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

09.06.2026

Veröffentlichung

07.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376574

CPE

bereit

EPSS

0.00264

KEV

nein

Aktivitäten

low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!