Krytyczna luka SSTI w FOSSBilling przed wersją 0.8.0 umożliwia zdalne wykonanie kodu
Krytyczna luka Server-Side Template Injection w FOSSBilling przed wersją 0.8.0 umożliwia zdalne wykonanie kodu. Zalecana szybka aktualizacja i audyt szablonów.
- CVSS
- 9.4 CRITICAL
- EPSS
- 77.07%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
FOSSBilling w wersjach przed 0.8.0 zawiera krytyczną lukę Server-Side Template Injection (SSTI) w systemie renderowania szablonów Twig. Administratorzy mogą wstrzykiwać złośliwe wyrażenia Twig, co prowadzi do ujawnienia informacji i zdalnego wykonania kodu.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla bezpieczeństwa systemów korzystających z FOSSBilling, umożliwiając atakującym przejęcie kontroli nad aplikacją i dostęp do wrażliwych danych. W środowiskach produkcyjnych może to skutkować poważnymi naruszeniami bezpieczeństwa i przestojami w działaniu usług.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie FOSSBilling do wersji 0.8.0 lub nowszej. Do czasu aktualizacji należy przeprowadzić audyt szablonów e-mail pod kątem podejrzanych wyrażeń Twig, wymienić wszystkie tokeny administratorów i klientów oraz zablokować zewnętrzny dostęp do endpointów /api/system/* za pomocą reverse proxy lub WAF, aby ograniczyć ryzyko wykorzystania luki.