Katalog CVE

CVE-2026-43926

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 12 - wyżej niż 12% wszystkich znanych CVE

Streszczenie

FOSSBilling to darmowy, otwartoźródłowy system zarządzania fakturami i klientami. W wersjach przed 0.8.0, punkt końcowy potwierdzenia resetu hasła `/client/reset-password-confirm/:hash` nie jest objęty ograniczeniem liczby żądań, co pozwala atakującemu na nieograniczone próby zgadywania tokenów resetujących hasło.

Ocena ryzyka

Brak ograniczenia liczby żądań na tym punkcie końcowym stwarza ryzyko, że atakujący może z łatwością uzyskać dostęp do kont użytkowników poprzez odgadnięcie ważnych tokenów resetujących hasło. Mimo że generacja tokenów zapewnia pewien poziom bezpieczeństwa, luka ta może być wykorzystana w praktyce.

Rekomendacja

Zaleca się skonfigurowanie reverse proxy (np. Nginx, Apache, Cloudflare) w celu zastosowania ograniczenia liczby żądań na ścieżkach `/client/reset-password-confirm/*` oraz `/staff/email/*`, a także rozważenie użycia reguły WAF do ograniczenia liczby żądań do tych punktów końcowych.

Oryginalny opis (angielski, źródło NVD)

FOSSBilling is a free, open-source billing and client management system. Prior to version 0.8.0, the password reset confirmation endpoint `/client/reset-password-confirm/:hash` is handled by a non-API controller and is not covered by FOSSBilling's rate limiter, which only applies to `/api/*` routes. This allows an attacker to probe the endpoint for valid reset tokens without any per-IP request limiting, attempt counting, or lockout mechanism. The endpoint acts as an oracle, returning a distinguishable response for valid versus invalid tokens (HTTP 200 vs HTTP 302 redirect). An attacker can submit unlimited token guesses to the password reset confirmation endpoint with no throttling applied. However, practical exploitability is significantly mitigated by the current token generation, which uses `hash('sha256', random_bytes(32))`, providing 256 bits of entropy. Tokens also expire after 15 minutes and are deleted after successful use. The same architectural gap applies to other controller-served auth routes, including `/staff/email/:hash` (admin password reset confirmation) and `/client/confirm-email/:hash` (email confirmation). Version 0.8.0 fixes the issue. Some workarounds are available. Configure a reverse proxy (e.g., Nginx, Apache, Cloudflare) to apply per-IP rate limiting to the `/client/reset-password-confirm/*` and `/staff/email/*` paths and/or use a WAF rule to limit request rates to these endpoints.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS