CVE-2026-53643 in FOSSBilling
Riassunto
di VulDB • 07/07/2026
FOSSBilling è un sistema di fatturazione e gestione dei clienti gratuito e open-source. Le versioni precedenti alla 0.8.0 consentono agli account del personale con privilegi ridotti di eseguire azioni non autorizzate tramite endpoint dell'API admin. La causa radice è una combinazione della flag `can_always_access` del modulo (che concede a tutto il personale l'accesso a determinati moduli) e controlli dei permessi insufficienti o un trattamento insicuro dei parametri sui singoli endpoint. La versione 0.8.0 contiene la correzione. Sono disponibili alcune contromisure. Limitare gli account del personale solo a coloro che necessitano di accedere alle impostazioni sensibili e/o utilizzare un reverse proxy o una WAF per limitare l'accesso agli endpoint interessati ai soli indirizzi IP attendibili o ai ruoli con privilegi più elevati.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.