CVE-2026-43920
ŚrednieCVSS 6.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 42 — wyżej niż 42% wszystkich znanych CVE
Streszczenie
Podatność w systemie FOSSBilling (wersje 0.5.4 do 0.7.2) umożliwia nieuwierzytelnionemu atakującemu zdalne wywołanie endpointu /run-patcher, który wykonuje krytyczne operacje konserwacyjne, takie jak modyfikacja plików konfiguracyjnych, zmiany schematu bazy danych, operacje na systemie plików oraz czyszczenie pamięci podręcznej. Brak wymaganego uwierzytelnienia i walidacji CSRF pozwala na przeprowadzenie ataku typu DoS poprzez wysłanie prostego żądania HTTP GET.
Ocena ryzyka
Ryzyko obejmuje możliwość przeprowadzenia ataku typu denial-of-service (DoS) poprzez wielokrotne wywoływanie endpointu, co może prowadzić do niekonsystentnego stanu bazy danych, unieważnienia sesji użytkowników oraz zakłócenia działania systemu. Niektóre łatki, np. regeneracja tokenów dla wszystkich kont administratorów i klientów, są destrukcyjne nawet przy ponownym uruchomieniu.
Rekomendacja
Należy niezwłocznie zaktualizować FOSSBilling do wersji 0.8.0, która zawiera poprawkę eliminującą podatność. Do czasu aktualizacji zaleca się zablokowanie dostępu do endpointu /run-patcher na poziomie zapory sieciowej lub serwera WWW.
Oryginalny opis (angielski, źródło NVD)
FOSSBilling is a free, open-source billing and client management system. In versions 0.5.4 through 0.7.2, the /run-patcher maintenance endpoint in FOSSBilling was accessible without authentication, which allowed unauthenticated remote users to trigger update patch routines that modify configuration files, execute database schema changes, perform filesystem mutations, and clear caches. The /run-patcher endpoint executes privileged maintenance operations - configuration migrations, database patch execution (including ALTER TABLE, DROP TABLE, UPDATE statements), filesystem deletions and renames, and cache clearing - without requiring administrator authentication, CSRF validation, or CLI context. An unauthenticated remote attacker can trigger these operations by sending a simple HTTP GET request to /run-patcher, which can be abused for denial-of-service attacks. Certain patches (e.g., batch token regeneration for all admin and client accounts in patch 53, and session invalidation) are disruptive even when re-executed against an already-patched instance. Repeated or concurrent requests may also cause inconsistent database state. This issue has been fixed in version 0.8.0.

