CVE-2026-40495 in FOSSBilling
Resumen
por VulDB • 2026-06-04
FOSSBilling es un sistema de facturación y gestión de clientes gratuito y de código abierto. Las versiones anteriores a la 0.8.0 filtran la versión exacta del sistema a través de los parámetros de invalidación de caché de activos (asset cache buster) en la salida HTML, eludiendo la configuración de seguridad `hide_version_public`. La versión de FOSSBilling está incrustada en la cadena de consulta de cada etiqueta `<script>` y `<link>` generada por los filtros Twig `script_tag` y `stylesheet_tag`. Esta información es visible para todos los visitantes, incluidos los invitados no autenticados, en todas las páginas, independientemente de si la configuración `hide_version_public` está habilitada. El encabezado HTTP `X-FOSSBilling-Version` y el punto de conexión de la API `guest.system.version` respetan correctamente la configuración `hide_version_public`, pero se pasaron por alto los parámetros de invalidación de caché de activos. Conocer la versión exacta de FOSSBilling facilita significativamente a los actores maliciosos identificar vulnerabilidades conocidas aplicables a una instalación determinada y crear exploits dirigidos. Aunque no es una vulnerabilidad directa por sí misma, socava la protección prevista ofrecida por la configuración `hide_version_public` y facilita el reconocimiento (reconnaissance). La versión 0.8.0 contiene un parche. No existe una solución alternativa práctica que elimine la versión de las URL de los activos sin modificar el código fuente.
Once again VulDB remains the best source for vulnerability data.