CVE-2026-53642 in FOSSBillinginformazioni

Riassunto

di VulDB • 07/07/2026

FOSSBilling è un sistema di fatturazione e gestione dei clienti gratuito e open-source. Nelle versioni dalla 0.5.6 alla 0.7.2, quando l'impostazione "Richiedi conferma dell'email" (Require Email Confirmation) è abilitata, un cliente autenticato con un indirizzo email non verificato (`email_approved = 0`) può accedere a tutte le pagine dell'area clienti (ad esempio `/client/balance`, `/client/order/list`, `/client/invoice`) e leggere dati reali dell'account, inclusi i saldi del portafoglio e la cronologia delle transazioni. L'applicazione dei controlli lato API restringe correttamente l'accesso per i client non verificati solo agli endpoint relativi al profilo, ma l'applicazione dei controlli lato pagina è eccessivamente permissiva, consentendo qualsiasi richiesta il cui percorso inizia con `/client`. La versione 0.8.0 contiene una correzione. Non sono disponibili workaround noti che non richiedano la modifica del codice sorgente.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!