PT-2026-46060 · Unknown · Fossbilling
Yagiz-Dev
·
Publicado
2026-06-03
·
Atualizado
2026-06-04
·
CVE-2026-40495
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
FOSSBilling versões anteriores a 0.8.0
Descrição
O FOSSBilling vaza a versão exata do sistema através de parâmetros de cache buster de ativos na saída HTML, ignorando a configuração de segurança
hide version public. A versão é incorporada na string de consulta de cada tag <script> e <link> gerada pelos filtros Twig script tag e stylesheet tag. Esta informação está visível para todos os visitantes, incluindo convidados não autenticados, em todas as páginas. Embora o cabeçalho HTTP X-FOSSBilling-Version e o endpoint de API guest.system.version respeitem corretamente a configuração de segurança, os parâmetros de cache buster de ativos não o fazem. Esta exposição facilita o reconhecimento, permitindo que agentes identifiquem problemas conhecidos aplicáveis a uma instalação específica.Recomendações
Atualizar para a versão 0.8.0.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fossbilling