Критична вразливість SSTI в FOSSBilling до версії 0.8.0
Вразливість SSTI в FOSSBilling до 0.8.0 дозволяє виконувати довільний код. Оновіть систему та обмежте доступ для захисту.
- CVSS
- 9.4 CRITICAL
- EPSS
- 77.07%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У FOSSBilling до версії 0.8.0 виявлено критичну вразливість Server-Side Template Injection (SSTI) у системі рендерингу шаблонів Twig. Зловмисники з правами адміністратора можуть виконувати довільний код і отримувати доступ до конфіденційної інформації через необмежений доступ до середовища Twig.
Бізнес-вплив
Ця вразливість дозволяє адміністраторам, які мають доступ до функцій рендерингу Twig-шаблонів, виконувати довільний код на сервері, що може призвести до витоку даних або повного контролю над системою. Для операторів ІТ та власників інфраструктури це означає високий ризик компрометації системи та порушення безпеки клієнтських даних.
Рекомендовані дії адміністратора
Рекомендується оновити FOSSBilling до версії 0.8.0 або новішої, де ця вразливість виправлена. До оновлення слід провести аудит існуючих email-шаблонів на наявність підозрілих Twig-виразів, змінити всі адміністративні та клієнтські API-токени, а також обмежити зовнішній доступ до /api/system/* через зворотний проксі або WAF для зменшення ризику експлуатації.