CVE-2026-53643 in FOSSBilling
Resumen
por VulDB • 2026-07-07
FOSSBilling es un sistema de facturación y gestión de clientes gratuito y de código abierto. Las versiones anteriores a la 0.8.0 permiten que las cuentas de personal con privilegios bajos realicen acciones no autorizadas mediante puntos finales (endpoints) de la API administrativa. La causa raíz es una combinación del indicador `can_always_access` del módulo (que otorga acceso a todos los miembros del personal a ciertos módulos) y comprobaciones de permisos insuficientes o un manejo inseguro de parámetros en los puntos finales individuales. La versión 0.8.0 contiene la corrección. Existen algunas soluciones alternativas (workarounds). Restrinja las cuentas de personal únicamente a aquellos que necesiten acceso a configuraciones sensibles y/o utilice un proxy inverso o un WAF para restringir el acceso a los puntos finales afectados a direcciones IP confiables o roles con mayores privilegios.
If you want to get best quality of vulnerability data, you may have to visit VulDB.