Krytyczna luka SSTI w FOSSBilling przed wersją 0.8.0 umożliwia zdalne wykonanie kodu

Krytyczna luka Server-Side Template Injection w FOSSBilling przed wersją 0.8.0 umożliwia zdalne wykonanie kodu. Zalecana szybka aktualizacja i audyt szablonów.
CVE-2026-28496CVSS 9.4Containers

Krytyczna luka SSTI w FOSSBilling przed wersją 0.8.0 umożliwia zdalne wykonanie kodu

Krytyczna luka Server-Side Template Injection w FOSSBilling przed wersją 0.8.0 umożliwia zdalne wykonanie kodu. Zalecana szybka aktualizacja i audyt szablonów.

CVSS
9.4 CRITICAL
EPSS
77.07%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

FOSSBilling w wersjach przed 0.8.0 zawiera krytyczną lukę Server-Side Template Injection (SSTI) w systemie renderowania szablonów Twig. Administratorzy mogą wstrzykiwać złośliwe wyrażenia Twig, co prowadzi do ujawnienia informacji i zdalnego wykonania kodu.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla bezpieczeństwa systemów korzystających z FOSSBilling, umożliwiając atakującym przejęcie kontroli nad aplikacją i dostęp do wrażliwych danych. W środowiskach produkcyjnych może to skutkować poważnymi naruszeniami bezpieczeństwa i przestojami w działaniu usług.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie FOSSBilling do wersji 0.8.0 lub nowszej. Do czasu aktualizacji należy przeprowadzić audyt szablonów e-mail pod kątem podejrzanych wyrażeń Twig, wymienić wszystkie tokeny administratorów i klientów oraz zablokować zewnętrzny dostęp do endpointów /api/system/* za pomocą reverse proxy lub WAF, aby ograniczyć ryzyko wykorzystania luki.

Źródła