文章总结: FOSSBilling存在严重的模板注入漏洞CVE-2026-28496(CVSS9.4),影响0.1.0至0.7.2版本。攻击者可通过Twig模板注入实现未授权数据读取和远程代码执行,已发现野外利用尝试。缓解措施包括升级至0.8.0版本、检查可疑模板、轮换API令牌并限制系统目录访问。 综合评分: 85 文章分类: 漏洞分析,威胁情报,漏洞预警,解决方案,WEB安全
FOSSBilling 模板注入漏洞已遭野外利用
sec随谈 sec随谈
sec随谈
2026年6月29日 09:27 北京
在小说阅读器读本章
去阅读
摘要(TL;DR)
一个严重的 FOSSBilling 模板注入漏洞(CVE-2026-28496)的 CVSS 评分为 9.4。攻击者可以读取敏感数据并在主机上运行代码。已有一名研究人员发现了野外的利用尝试。
影响为何重大
FOSSBilling 存储着客户记录、支付详情和员工凭据。因此,这里的单个漏洞便会暴露一个计费平台最敏感的数据。更糟的是,该漏洞还能升级为完全的远程代码执行(RCE)。
当与授权绕过漏洞(GHSA-78×5-c8gw-8279)串联利用时,则无需登录。因此,未经身份验证的攻击者也能触及同一条存在漏洞的代码路径。
攻击如何实现
问题出在 FOSSBilling 的 Twig 模板渲染中。该应用程序在渲染模板时未使用沙箱。因此,拥有模板访问权限的攻击者可以注入任意的 Twig 表达式。
这些模板暴露了 API 全局变量和一个 getDi() 方法。该方法会返回完整的依赖注入(DI)容器。攻击者由此可以触及数据库、缓存和密码服务。这一利用链将信息泄露转化为了远程代码执行。
受影响的版本
这个 FOSSBilling 模板注入问题影响 0.1.0 至 0.7.2 版本。简而言之,迄今为止的每一个发行版都存在漏洞。该项目的官方安全公告列出了受影响的组件。
利用现状
6 月 24 日,一名研究人员观察到来自 IP 地址 160.30.209[.]77(AS137552 Terabix)的野外利用。该安全公告仅在数天前才公开。因此,在首批探测到来之前,防御者只有一个狭窄的应对窗口。不过,目前尚未发布公开的概念验证(PoC)。该漏洞也尚未出现在主要的已知被利用漏洞目录中。尽管如此,该攻击者会避开常见的蜜罐(honeypot),这表明这是一场有针对性的攻击行动。安全公司 VulnCheck 另行证实了针对默认安装环境的未授权 RCE 利用链。
补丁与缓解措施
请立即更新至 FOSSBilling 0.8.0,因为该版本修复了此漏洞。如果你现在无法打补丁,请改为采取以下措施:
- 审查电子邮件模板中是否存在可疑的 Twig 表达式。
- 轮换(rotate)所有管理员和客户 API 令牌。
- 在你的反向代理或 WAF 上阻止对 /api/system/* 的外部访问。
最后,在你的日志中检索上述攻击者 IP。
参考链接:
https://github.com/FOSSBilling/FOSSBilling/security/advisories/GHSA-57mv-jm88-66jc
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:sec随谈 sec随谈 sec随谈《FOSSBilling 模板注入漏洞已遭野外利用》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论