CVE-2026-23513
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 — wyżej niż 20% wszystkich znanych CVE
Streszczenie
W FOSSBilling w wersjach 0.7.2 i wcześniejszych, w punktach końcowych listy klientów, błąd w konstrukcji zapytań umożliwiał uwierzytelnionym klientom ominięcie ograniczeń dzierżawy i pobranie danych innych klientów. Problem wynikał z nieprawidłowego grupowania filtrów w zapytaniach, co pozwalało na niezależne wykonanie klauzul OR od wymuszonego ograniczenia client_id.
Ocena ryzyka
Organizacja narażona jest na wyciek wrażliwych danych klientów, takich jak identyfikatory, kwoty, statusy i znaczniki czasowe, co może prowadzić do naruszenia prywatności i zgodności z przepisami.
Rekomendacja
Należy niezwłocznie zaktualizować FOSSBilling do wersji 0.8.0 lub nowszej, która zawiera poprawkę usuwającą tę podatność.
Oryginalny opis (angielski, źródło NVD)
FOSSBilling is a free, open-source billing and client management system. In versions 0.7.2 and prior, a query-construction flaw in client list endpoints allowed authenticated clients to bypass tenant scoping and retrieve other clients’ data. Details In ServiceTransaction::getSearchQuery() and Order\Service::getSearchQuery(), OR-based search/action filters were appended without grouping, allowing SQL operator precedence to evaluate OR clauses independently of the enforced client_id constraint. Crafted requests could therefore return records and metadata belonging to other clients, including identifiers, amounts, status, timestamps, and related fields. This issue was fixed in version 0.8.0.

