CVE-2026-40495 in FOSSBilling
要約
〜によって VulDB • 2026年06月04日
FOSSBillingは、無料のオープンソースな請求およびクライアント管理システムです。0.8.0より前のバージョンでは、HTML出力内のアセットキャッシュバスターパラメータを通じて、システムバージョンが正確に漏洩します。これにより、`hide_version_public`というセキュリティ設定が回避されます。FOSSBillingのバージョンは、`script_tag`および`stylesheet_tag` Twigフィルターによって生成されるすべての``および``タグのクエリ文字列に埋め込まれています。この情報は、`hide_version_public`設定が有効かどうかに関わらず、認証されていないゲストを含むすべての訪問者に対して、すべてのページで表示されます。`X-FOSSBilling-Version` HTTPヘッダーおよび`guest.system.version` APIエンドポイントは`hide_version_public`設定を正しく尊重しますが、アセットキャッシュバスターパラメータは見落とされていました。FOSSBillingの正確なバージョンを知ることで、攻撃者は既知の脆弱性を利用し、特定のインストールに合わせた攻撃コードを作成しやすくなります。これは単独では直接的な脆弱性ではありませんが、`hide_version_public`設定による意図された保護を弱め、偵察を容易にします。バージョン0.8.0には修正パッチが含まれています。ソースコードを変更せずにアセットURLからバージョンを削除する実用的な回避策はありません。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.