CVE-2026-27604
FOSSBilling: Improper API Role Validation (system) Enables Unauthenticated Access to Privileged Admin Functions
Em resumo
FOSSBilling possui uma falha crítica que permite que atacantes acessem funções poderosas de administrador via API sem fazer login ou fornecer credenciais. Qualquer pessoa na internet pode potencialmente controlar sistemas de cobrança e dados de usuários.
Detalhe técnico
Um desvio de autorização na validação de papéis da API (CWE-200, CWE-306, CWE-862, CWE-863) permite requisições não autenticadas para endpoints `/api/system/*` ao explorar resolução imprópria do papel 'system' para identidade de admin cron. Nenhum token de credencial válido, sessão ou proteções CSRF são aplicadas, permitindo invocação direta de métodos privilegiados da API de admin. Afeta versões 0.5.4 até 0.7.x; corrigido em 0.8.0.
Resumo gerado e traduzido por IA a partir da descrição oficial.
FOSSBilling is a free, open-source billing and client management system. Starting in version 0.5.4 and prior to version 0.8.0, an authorization bypass in the API role handling allows unauthenticated access to privileged `/api/system/*` endpoints. Because `system` resolves to the cron admin identity, attackers can invoke admin API methods without valid credentials, session, or CSRF token. Version 0.8.0 patches the issue. Some workarounds are available. Block external access to `/api/system/*` at reverse proxy/WAF, restrict API access by trusted source IPs only (`api.allowed_ips`), rotate all admin/client API tokens immediately, invalidate active sessions and reset high-privilege credentials, and/or review API request logs for suspicious `/api/system/` access and treat as potential incident.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Produtos afetados
FOSSBilling · FOSSBillingQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →