CVE-2026-40495 in FOSSBilling
요약
\~에 의해 VulDB • 2026. 06. 03.
FOSSBilling은 무료 오픈소스 청구 및 고객 관리 시스템입니다. 0.8.0 이전 버전에서는 HTML 출력의 자산 캐시 버스터(asset cache buster) 매개변수를 통해 시스템 버전이 정확히 유출되며, 이는 `hide_version_public` 보안 설정을 우회합니다. FOSSBilling 버전은 `script_tag` 및 `stylesheet_tag` Twig 필터가 생성하는 모든 `` 및 `` 태그의 쿼리 문자열에 포함되어 있습니다. 이 정보는 `hide_version_public` 설정이 활성화되어 있든 아니든 관계없이 모든 페이지에서 인증되지 않은 방문자를 포함한 모든 사용자에게 노출됩니다. `X-FOSSBilling-Version` HTTP 헤더와 `guest.system.version` API 엔드포인트는 `hide_version_public` 설정을 올바르게 준수하지만, 자산 캐시 버스터 매개변수는 간과되었습니다. 정확한 FOSSBilling 버전을 알면 악의적인 행위자가 특정 설치에 적용 가능한 알려진 취약점을 식별하고 표적형 익스플로잇을 작성하는 것이 훨씬 쉬워집니다. 이는 자체적으로 직접적인 취약점은 아니지만, `hide_version_public` 설정이 제공하는 의도된 보호를 약화시키고 정찰(reconnaissance)을 용이하게 합니다. 버전 0.8.0에는 패치가 포함되어 있습니다. 소스 코드를 수정하지 않고 자산 URL에서 버전을 제거하는 실용적인 우회 방법은 없습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.