🔴 严重 | CVE-2026-42341 — FOSSBilling is a free, open-source billing and cli...
🔴 《严重安全漏洞:CVE-2026-42341》
CVSS 评分: 严重(9.2) 状态: Received 发布时间: 2026-07-06
漏洞简介
CVE-2026-42341 涉及 FOSSBilling(一个免费、开源的计费与客户管理系统)中的一个未认证支付绕过漏洞。该漏洞存在于 FOSSBilling 的 IPN(即时支付通知,Instant Payment Notification)回调端点中,影响版本 0.6.0 至 0.7.2。
当系统中启用了“自定义支付适配器(Custom payment adapter)”时,攻击者无需任何身份验证(unauthenticated),只需发送一个精心构造的 HTTP 请求,即可将任意未支付的发票(invoice)标记为已支付,并将相应金额记入关联的客户账户,而无需实际完成任何支付流程。
该漏洞涉及以下 CWE 分类:
- CWE-306:关键功能缺少身份验证(Missing Authentication for Critical Function)
- CWE-346:源验证错误(Origin Validation Error)
影响范围
- 受影响版本:FOSSBilling 0.6.0 至 0.7.2(含)
- 不受影响版本:FOSSBilling 0.8.0(已修复该漏洞)
- CVSS 4.0 评分向量:
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X- 攻击途径(AV):网络(Network)
- 攻击复杂度(AC):低(Low)
- 所需权限(PR):无(None)
- 用户交互(UI):无(None)
- 影响:对完整性(Integrity)影响为高(High),对机密性(Confidentiality)和可用性(Availability)无影响
风险分析
攻击后果:
- 攻击者可以利用该漏洞绕过支付流程,将任意未支付账单标记为已支付,从而非法获取服务或产品,而无需实际付款。
- 同时,攻击者还可以将虚假的付款金额记入客户账户,可能导致账户余额被恶意增加,进一步用于后续的欺诈操作。
- 由于攻击无需任何身份验证且可通过网络远程发起,攻击门槛极低,危害性较高。
可能的利用场景:
- 在启用了自定义支付适配器的 FOSSBilling 实例上,攻击者通过直接向
/ipn.php端点发送构造的 HTTP 请求,即可触发支付状态篡改。 - 该漏洞可能被用于大规模自动化攻击,导致系统内大量发票状态被篡改,造成严重的经济损失和账目混乱。
- 在启用了自定义支付适配器的 FOSSBilling 实例上,攻击者通过直接向
缓解措施:
- 升级修复:官方已在版本 0.8.0 中修复该漏洞,建议立即升级至该版本或更高版本。
- 临时缓解方案:
- 如果不需要使用自定义支付网关,请禁用该功能。
- 在 Web 服务器层面限制对
/ipn.php路径的访问(例如通过 IP 白名单(IP allowlisting)),但需注意这可能会干扰合法的支付回调处理流程。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-42341 |
| CVSS 评分 | 9.2 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| CWE 分类 | CWE-306,CWE-346 |
| 发布时间 | 2026-07-06 |
| 最后更新 | 2026-07-06 |
| 状态 | Received |
| 数据来源 | security-advisories@github.com |
🔗 参考链接
💬 评论