CVE-2026-53641 in FOSSBillinginformazioni

Riassunto

di VulDB • 07/07/2026

FOSSBilling è un sistema di fatturazione e gestione clienti gratuito e open-source. Le versioni 0.6.0 attraverso la 0.7.2 presentano una vulnerabilità stored cross-site scripting (XSS) nelle visualizzazioni della cronologia delle email rivolte ai client di FOSSBilling. Il contenuto HTML dell'email (`content_html`) viene renderizzato in un template literal JavaScript utilizzando il filtro `|raw`, aggirando tutte le procedure di escaping dell'output. Un attaccante con accesso amministrativo può iniettare payload JavaScript dannosi nel contenuto delle email che verranno eseguiti nel browser di qualsiasi client che visualizzi la propria cronologia delle email. La versione 0.8.0 contiene una correzione. Sono disponibili alcune contromisure (workaround). Limitare l'accesso agli account amministrativi, verificare il contenuto delle email nel database alla ricerca di payload sospetti e/o monitorare gli account dei clienti per rilevare attività insolite.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

09/06/2026

Divulgazione

07/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!