CVE-2026-43924

Nome do Software Vulnerável e Versões Afetadas FOSSBilling versões anteriores a 0.8.0

Description O módulo Redirect não valida o esquema de URL dos URLs de destino configurados por administradores antes de serem armazenados ou emitidos. Isso permite a configuração de URLs externas arbitrárias como alvos de redirecionamento, possibilitando redirecionamentos abertos que podem ser utilizados em ataques de phishing. Quando um usuário segue um URL legítimo, ele pode ser silenciosamente redirecionado para um site externo controlado por um invasor através de uma resposta 301 (Moved Permanently), que é armazenada persistentemente no cache dos navegadores. A exploração requer privilégios de administrador para criar ou modificar entradas de redirecionamento.

Recommendations Atualizar para a versão 0.8.0. Restringir o acesso administrativo ao módulo Redirect apenas a administradores confiáveis. Auditar as entradas de redirecionamento existentes na tabela extension meta onde extension está definido como mod redirect para identificar URLs de destino inesperados ou externos.