CVE-2026-40495
ŚrednieCVSS 6.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 - wyżej niż 19% wszystkich znanych CVE
Streszczenie
FOSSBilling to darmowy, otwartoźródłowy system zarządzania fakturami i klientami. Wersje przed 0.8.0 ujawniają dokładną wersję systemu poprzez parametry cache buster w HTML, omijając ustawienie `hide_version_public`. Informacje te są widoczne dla wszystkich odwiedzających, w tym niezalogowanych gości.
Ocena ryzyka
Znajomość dokładnej wersji FOSSBilling ułatwia złośliwym aktorom identyfikację znanych podatności i tworzenie ukierunkowanych exploitów. To osłabia zamierzony poziom ochrony oferowany przez ustawienie `hide_version_public` i ułatwia rekonesans.
Rekomendacja
Zaleca się aktualizację do wersji 0.8.0, która zawiera poprawkę. Nie ma praktycznego obejścia, które usunęłoby wersję z adresów URL zasobów bez modyfikacji kodu źródłowego.
Oryginalny opis (angielski, źródło NVD)
FOSSBilling is a free, open-source billing and client management system. Versions prior to 0.8.0 leak the exact system version through asset cache buster parameters in HTML output, bypassing the `hide_version_public` security setting. The FOSSBilling version is embedded in the query string of every `<script>` and `<link>` tag generated by the `script_tag` and `stylesheet_tag` Twig filters. This information is visible to all visitors — including unauthenticated guests — on every page, regardless of whether the `hide_version_public` setting is enabled. The `X-FOSSBilling-Version` HTTP header and the `guest.system.version` API endpoint correctly honour the `hide_version_public` setting, but the asset cache buster parameters were overlooked. Knowledge of the exact FOSSBilling version makes it significantly easier for malicious actors to identify known vulnerabilities applicable to a given installation and craft targeted exploits. While not a direct vulnerability on its own, it undermines the intended protection offered by the `hide_version_public` setting and facilitates reconnaissance. Version 0.8.0 contains a patch. There is no practical workaround that removes the version from asset URLs without modifying source code.

