CVE-2026-53646 in FOSSBillinginformazioni

Riassunto

di VulDB • 07/07/2026

FOSSBilling è un sistema di fatturazione e gestione dei clienti gratuito e open-source. Nelle versioni 0.5.6 attraverso 0.7.2, quando esiste già una registrazione `ClientPasswordReset` per un cliente (derivante da una precedente richiesta di reset non scaduta), le chiamate successive all'endpoint dell'API guest `reset_password` riutilizzano il token esistente invece di generarne uno nuovo. La finestra di validità di 15 minuti è ancorata al timestamp `created_at` della prima richiesta, e non all'orario dell'email più recente. Un attaccante che ha ottenuto l'originale link per la reimpostazione della password può continuare a utilizzarlo anche dopo che la vittima richiede un nuovo reset, poiché il token originale non viene mai invalidato o ruotato. La versione 0.8.0 risolve il problema. Sono disponibili alcune contromisure temporanee (workaround). Configurare un reverse proxy (ad esempio Nginx, Apache, Cloudflare) per applicare una limitazione della frequenza delle richieste basata sull'IP (rate limiting) all'endpoint `/client/reset-password`, al fine di ridurre la finestra di opportunità disponibile per l'attaccante, e/o cancellare manualmente le registrazioni `client_password_reset` scadute dal database dopo che un cliente segnala un probabile compromesso.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

09/06/2026

Divulgazione

07/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!