CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-40495

MediumCVSS 6.9
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.28%

19th percentile - higher than 19% of all known CVEs

Summary

FOSSBilling to darmowy, otwartoźródłowy system zarządzania fakturami i klientami. Wersje przed 0.8.0 ujawniają dokładną wersję systemu poprzez parametry cache buster w HTML, omijając ustawienie `hide_version_public`. Informacje te są widoczne dla wszystkich odwiedzających, w tym niezalogowanych gości.

Risk Assessment

Znajomość dokładnej wersji FOSSBilling ułatwia złośliwym aktorom identyfikację znanych podatności i tworzenie ukierunkowanych exploitów. To osłabia zamierzony poziom ochrony oferowany przez ustawienie `hide_version_public` i ułatwia rekonesans.

Recommendation

Zaleca się aktualizację do wersji 0.8.0, która zawiera poprawkę. Nie ma praktycznego obejścia, które usunęłoby wersję z adresów URL zasobów bez modyfikacji kodu źródłowego.

Original NVD description (English source)

FOSSBilling is a free, open-source billing and client management system. Versions prior to 0.8.0 leak the exact system version through asset cache buster parameters in HTML output, bypassing the `hide_version_public` security setting. The FOSSBilling version is embedded in the query string of every `<script>` and `<link>` tag generated by the `script_tag` and `stylesheet_tag` Twig filters. This information is visible to all visitors — including unauthenticated guests — on every page, regardless of whether the `hide_version_public` setting is enabled. The `X-FOSSBilling-Version` HTTP header and the `guest.system.version` API endpoint correctly honour the `hide_version_public` setting, but the asset cache buster parameters were overlooked. Knowledge of the exact FOSSBilling version makes it significantly easier for malicious actors to identify known vulnerabilities applicable to a given installation and craft targeted exploits. While not a direct vulnerability on its own, it undermines the intended protection offered by the `hide_version_public` setting and facilitates reconnaissance. Version 0.8.0 contains a patch. There is no practical workaround that removes the version from asset URLs without modifying source code.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS