← volver
CVE-2026-27604

FOSSBilling: Improper API Role Validation (system) Enables Unauthenticated Access to Privileged Admin Functions

CVSS 10 CRITICALCWE-200CWE-306CWE-862CWE-863
En resumen

FOSSBilling tiene una falla crítica que permite a los atacantes acceder a funciones poderosas de administrador a través de la API sin iniciar sesión ni proporcionar credenciales. Cualquier persona en internet puede potencialmente controlar sistemas de facturación y datos de usuarios.

Detalle técnico

Un desvío de autorización en la validación de roles de API (CWE-200, CWE-306, CWE-862, CWE-863) permite solicitudes no autenticadas a endpoints `/api/system/*` al explotar la resolución impropia del rol 'system' a identidad de admin cron. No se aplican credenciales válidas, tokens de sesión ni protecciones CSRF, permitiendo invocación directa de métodos privilegiados de API de administrador. Afecta versiones 0.5.4 hasta 0.7.x; corregido en 0.8.0.

Resumen generado y traducido por IA a partir de la descripción oficial.
FOSSBilling is a free, open-source billing and client management system. Starting in version 0.5.4 and prior to version 0.8.0, an authorization bypass in the API role handling allows unauthenticated access to privileged `/api/system/*` endpoints. Because `system` resolves to the cron admin identity, attackers can invoke admin API methods without valid credentials, session, or CSRF token. Version 0.8.0 patches the issue. Some workarounds are available. Block external access to `/api/system/*` at reverse proxy/WAF, restrict API access by trusted source IPs only (`api.allowed_ips`), rotate all admin/client API tokens immediately, invalidate active sessions and reset high-privilege credentials, and/or review API request logs for suspicious `/api/system/` access and treat as potential incident.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Productos afectados
FOSSBilling · FOSSBilling

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/FOSSBilling/FOSSBilling/security/advisories/GHSA-57mv-jm88-66jchttps://github.com/FOSSBilling/FOSSBilling/security/advisories/GHSA-78x5-c8gw-8279https://www.vulncheck.com/blog/fossbilling-auth-bypass-ssti-rce