慢讯: FOSSBilling 0.7.x 存在多个安全漏洞,官方在发布 0.8.0 时修复了这些问题,并将升级定性为优先安全基线,强烈要求用户尽快迁移。 记得论坛里有些虚拟主机和免费域名的商家用的就是FossBilling 或者是基于 FossBilling 二次开发的,希望受到影响的也注意一下。 0.7.x 存在的已知安全漏洞 FOSSBilling 0.8.0 一次性修复了多项安全漏洞,涵盖高危和中低危问题 。目前已披露或正在披露的包括: 版本信息泄露(CVE-2026-40495) 这是一个信息暴露漏洞(CWE-200),严重性在于:0.7.x 及更早版本的每个 HTML 页面的 <script> 和 <link> 标签中,都会通过资产缓存破坏(cache buster)参数将 FOSSBilling 的精确版本号暴露给所有访客,包括未经身份验证的匿名用户 。即便管理员开启了 hide_version_public 安全设置,该泄露依然绕过此保护 。攻击者只需发出一次 GET 请求,即可获取版本号,进而在漏洞数据库中精准匹配可用的版本特定漏洞 。 开放重定向漏洞(C...
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。