PT-2026-56028 · Unknown · Fossbilling

Dilipmallavarapu

·

Publicado

2026-07-06

·

Atualizado

2026-07-06

·

CVE-2026-43921

CVSS v4.0

8.9

Alta

VetorAV:N/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Nome do Software Vulnerável e Versões Afetadas FOSSBilling versões 0.6.10 through 0.7.2
Description Existe um problema no método Config::prettyPrintArrayToPHP() onde valores de string são gravados no arquivo config.php sem a neutralização de aspas simples durante a atualização de configurações. Como o config.php é carregado via include em cada requisição HTTP, um invasor com privilégios de administrador pode injetar código PHP arbitrário que será executado em todas as requisições subsequentes.
Recommendations Atualize para a versão 0.8.0. Restrinja o acesso administrativo apenas a pessoal confiável. Audite o arquivo config.php em busca de código PHP inesperado. Restrinja o acesso aos endpoints de API administrativa que modificam configurações no nível do proxy reverso ou WAF.

Correção

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-43921

Produtos afetados

Fossbilling