Katalog CVE

CVE-2026-27604

KrytyczneCVSS 10.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

FOSSBilling w wersjach od 0.5.4 do 0.8.0 ma lukę w autoryzacji w obsłudze ról API, co pozwala na nieautoryzowany dostęp do uprzywilejowanych punktów końcowych `/api/system/*`. Atakujący mogą wywoływać metody API administratora bez ważnych poświadczeń.

Ocena ryzyka

Luka ta stwarza poważne ryzyko dla bezpieczeństwa, umożliwiając atakującym dostęp do funkcji administracyjnych systemu bez autoryzacji, co może prowadzić do poważnych naruszeń danych.

Rekomendacja

Zaleca się zablokowanie dostępu zewnętrznego do `/api/system/*` na poziomie reverse proxy/WAF, ograniczenie dostępu do API tylko do zaufanych adresów IP oraz natychmiastowe obrócenie wszystkich tokenów API administratora/klienta.

Oryginalny opis (angielski, źródło NVD)

FOSSBilling is a free, open-source billing and client management system. Starting in version 0.5.4 and prior to version 0.8.0, an authorization bypass in the API role handling allows unauthenticated access to privileged `/api/system/*` endpoints. Because `system` resolves to the cron admin identity, attackers can invoke admin API methods without valid credentials, session, or CSRF token. Version 0.8.0 patches the issue. Some workarounds are available. Block external access to `/api/system/*` at reverse proxy/WAF, restrict API access by trusted source IPs only (`api.allowed_ips`), rotate all admin/client API tokens immediately, invalidate active sessions and reset high-privilege credentials, and/or review API request logs for suspicious `/api/system/` access and treat as potential incident.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS