CVE-2026-27708
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
FOSSBilling w wersjach 0.7.2 i wcześniejszych ma lukę w API, która pozwala uwierzytelnionym klientom na dostęp do danych innych klientów poprzez zgadywanie identyfikatorów zamówień. Metoda __call w API nie weryfikuje, czy klient posiada zamówienie, co może prowadzić do ujawnienia danych osobowych.
Ocena ryzyka
Organizacja może doświadczyć naruszenia poufności danych, ponieważ atakujący mogą uzyskać dostęp do danych osobowych innych klientów, co może prowadzić do poważnych konsekwencji prawnych i reputacyjnych.
Rekomendacja
Zaleca się aktualizację FOSSBilling do wersji 0.8.0, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów weryfikacji dostępu do danych klientów.
Oryginalny opis (angielski, źródło NVD)
FOSSBilling is a free, open-source billing and client management system. In versions 0.7.2 and prior, the Servicecustom Client API's __call method accepts an order_id parameter and fetches the associated order without verifying the authenticated client owns it, potentially exposing cross-client data through IDOR. An authenticated client can access any other client's custom service by guessing sequential order IDs. This can lead to a confidentiality breach — attackers can read client PII (name, email, phone, address, company details, VAT number) and service configuration data belonging to other clients. This issue has been fixed in version 0.8.0.

