PT-2026-56028 · Unknown · Fossbilling
Dilipmallavarapu
·
Publicado
2026-07-06
·
Atualizado
2026-07-06
·
CVE-2026-43921
CVSS v4.0
8.9
Alta
| Vetor | AV:N/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H |
Nome do Software Vulnerável e Versões Afetadas
FOSSBilling versões 0.6.10 through 0.7.2
Description
Existe um problema no método
Config::prettyPrintArrayToPHP() onde valores de string são gravados no arquivo config.php sem a neutralização de aspas simples durante a atualização de configurações. Como o config.php é carregado via include em cada requisição HTTP, um invasor com privilégios de administrador pode injetar código PHP arbitrário que será executado em todas as requisições subsequentes.Recommendations
Atualize para a versão 0.8.0.
Restrinja o acesso administrativo apenas a pessoal confiável.
Audite o arquivo
config.php em busca de código PHP inesperado.
Restrinja o acesso aos endpoints de API administrativa que modificam configurações no nível do proxy reverso ou WAF.Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fossbilling