Katalog CVE

CVE-2025-64105

ŚrednieCVSS 5.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

FOSSBilling, system do zarządzania fakturami i klientami, ma podatność na IDOR w wersjach od 0.6.21 do 0.7.2, umożliwiającą uwierzytelnionym klientom tworzenie zgłoszeń wsparcia, które odnoszą się do zamówień innych klientów. Metoda ticketCreateForClient() nie weryfikowała własności zamówienia, co pozwalało na manipulację rel_id.

Ocena ryzyka

Podatność ta może prowadzić do wprowadzenia personelu w błąd, co do działań na niewłaściwych zamówieniach, co zagraża integralności i poufności danych. Choć nie ma ujawnienia danych zamówień między klientami, identyfikatory zamówień mogą być widoczne w kontekście zgłoszeń.

Rekomendacja

Zaleca się aktualizację systemu FOSSBilling do wersji 0.8.0, aby usunąć tę podatność. Należy również przeprowadzić audyt istniejących zgłoszeń wsparcia w celu weryfikacji poprawności działań personelu.

Oryginalny opis (angielski, źródło NVD)

FOSSBilling is a billing and client management system that automates invoicing, payments, and communication for online service businesses. Versions 0.6.21 through 0.7.2 are vulnerable to IDOR through the support ticket creation workflow. By manipulating rel_id when rel_type=order, an authenticated client can create a support ticket that references another client's order they do not own. The ticketCreateForClient() method accepted rel_id without verifying order ownership for non-upgrade tasks, allowing clients to link a new ticket to another client's order by crafting the request. No cron task automatically processes cancel/upgrade requests from ticket relations; staff action is required. This affects integrity and confidentiality: staff could be misled into acting on the wrong order (e.g., cancellation or upgrade requests). While there is no client-to-client order data exposure, order IDs may appear in ticket context. This issue has been fixed in version 0.8.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS