CVE-2026-53644 in FOSSBillinginformazioni

Riassunto

di VulDB • 07/07/2026

FOSSBilling è un sistema di fatturazione e gestione dei clienti gratuito e open-source. Le versioni 0.5.3 attraverso la 0.7.2 consentono ai client autenticati sia di leggere che di reimpostare i segreti del servizio delle chiavi API per gli ordini che non sono più in stato `active` (ad esempio, `suspended`, `canceled`). La causa radice è l'assenza di convalida dello stato dell'ordine in due endpoint dell'API client, nonostante esista già un helper `isActive()` nel modulo `Serviceapikey` e l'interfaccia utente frontend gestisca correttamente l'accesso basandosi su `order.status == 'active'`. La versione 0.8.0 contiene una correzione. Sono disponibili alcune soluzioni alternative (workaround). Se il modulo `Serviceapikey` non è necessario, disinstallarlo per rimuovere gli endpoint interessati. È inoltre possibile utilizzare un reverse proxy o un WAF per limitare l'accesso a `/api/client/order/service` e `/api/client/serviceapikey/reset` in base alla logica dello stato dell'applicazione relativa agli ordini.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

09/06/2026

Divulgazione

07/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!