🔴 《严重安全漏洞:CVE-2026-42341》

CVSS 评分: 严重(9.2)  状态: Received  发布时间: 2026-07-06


漏洞简介

CVE-2026-42341 涉及 FOSSBilling(一个免费、开源的计费与客户管理系统)中的一个未认证支付绕过漏洞。该漏洞存在于 FOSSBilling 的 IPN(即时支付通知,Instant Payment Notification)回调端点中,影响版本 0.6.0 至 0.7.2。

当系统中启用了“自定义支付适配器(Custom payment adapter)”时,攻击者无需任何身份验证(unauthenticated),只需发送一个精心构造的 HTTP 请求,即可将任意未支付的发票(invoice)标记为已支付,并将相应金额记入关联的客户账户,而无需实际完成任何支付流程。

该漏洞涉及以下 CWE 分类:

  • CWE-306:关键功能缺少身份验证(Missing Authentication for Critical Function)
  • CWE-346:源验证错误(Origin Validation Error)

影响范围

  • 受影响版本:FOSSBilling 0.6.0 至 0.7.2(含)
  • 不受影响版本:FOSSBilling 0.8.0(已修复该漏洞)
  • CVSS 4.0 评分向量CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
    • 攻击途径(AV):网络(Network)
    • 攻击复杂度(AC):低(Low)
    • 所需权限(PR):无(None)
    • 用户交互(UI):无(None)
    • 影响:对完整性(Integrity)影响为高(High),对机密性(Confidentiality)和可用性(Availability)无影响

风险分析

  1. 攻击后果

    • 攻击者可以利用该漏洞绕过支付流程,将任意未支付账单标记为已支付,从而非法获取服务或产品,而无需实际付款。
    • 同时,攻击者还可以将虚假的付款金额记入客户账户,可能导致账户余额被恶意增加,进一步用于后续的欺诈操作。
    • 由于攻击无需任何身份验证且可通过网络远程发起,攻击门槛极低,危害性较高。
  2. 可能的利用场景

    • 在启用了自定义支付适配器的 FOSSBilling 实例上,攻击者通过直接向 /ipn.php 端点发送构造的 HTTP 请求,即可触发支付状态篡改。
    • 该漏洞可能被用于大规模自动化攻击,导致系统内大量发票状态被篡改,造成严重的经济损失和账目混乱。
  3. 缓解措施

    • 升级修复:官方已在版本 0.8.0 中修复该漏洞,建议立即升级至该版本或更高版本。
    • 临时缓解方案
      • 如果不需要使用自定义支付网关,请禁用该功能。
      • 在 Web 服务器层面限制对 /ipn.php 路径的访问(例如通过 IP 白名单(IP allowlisting)),但需注意这可能会干扰合法的支付回调处理流程。

🔍 技术细节

字段
CVE ID CVE-2026-42341
CVSS 评分 9.2 🔴
严重程度 严重
CVSS 向量 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
CWE 分类 CWE-306,CWE-346
发布时间 2026-07-06
最后更新 2026-07-06
状态 Received
数据来源 security-advisories@github.com

🔗 参考链接