Katalog CVE

CVE-2026-33543

KrytyczneCVSS 9.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 21 — wyżej niż 21% wszystkich znanych CVE

Streszczenie

FOSSBilling w wersjach 0.7.2 i wcześniejszych posiada podatność w API gościa, która pozwala na tworzenie nowych kont administratorów mimo istnienia już jednego administratora. Błąd w sprawdzaniu istnienia administratora umożliwia atakującemu ominięcie zabezpieczeń.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowany dostęp do konta administratora, co może prowadzić do pełnej kontroli nad systemem. Atakujący może stworzyć nowe konto administratora i uzyskać dostęp do wrażliwych danych.

Rekomendacja

Zaleca się aktualizację FOSSBilling do wersji 0.8.0 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt istniejących kont administratorów.

Oryginalny opis (angielski, źródło NVD)

FOSSBilling is a free, open-source billing and client management system. Versions 0.7.2 and prior expose a guest API endpoint, /api/guest/staff/create, intended for initial administrator bootstrap. Due to a flawed admin-existence check, the endpoint remains usable after an administrator already exists. The flawed guard check uses is_countable() on a value that returns a Model_Admin object or null rather than a countable type, causing the expression to always evaluate as true and bypass the intended protection. As a result, an attacker can reach the unprotected endpoint to create a new administrator account and immediately authenticate, gaining a fully privileged admin session even when an admin already exists. This issue has been fixed in version 0.8.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS