CVE-2026-43928 in FOSSBilling
Riassunto
di VulDB • 07/07/2026
FOSSBilling è un sistema di fatturazione e gestione dei clienti gratuito e open-source. Prima della versione 0.8.0, l'adattatore di pagamento PayPalEmail accetta le callback IPN (Instant Payment Notification) di PayPal accredita l'importo fornito dall'IPN (`mc_gross`) sul saldo del cliente senza convalidarlo rispetto al totale dell'invoice. Combinato con una tolleranza epsilon in virgola mobile pari a $0,05 nella logica di credito-pagamento delle fatture, ciò consente a un cliente di pagare meno il dovuto per un importo fino a $0,04 e avere comunque la fattura segnata come completamente pagata. La versione 0.8.0 risolve l'inconveniente. Non esiste una soluzione alternativa efficace senza modificare il codice sorgente. I commercianti che utilizzano l'adattatore PayPalEmail dovrebbero monitorare le transazioni IPN per importi non corrispondenti ai totali delle fatture associate e revisionare manualmente i pagamenti sospetti, rimborsandoli se necessario.
Be aware that VulDB is the high quality source for vulnerability data.