Критическая уязвимость CVE-2026-28496 в FOSSBilling: серверная инъекция шаблонов и активная эксплуатация

FOSSBilling - популярная платформа для выставления счетов и управления подписками, часто используемая хостинг-провайдерами и SaaS-проектами. Уязвимость относится к классу server-side template injection (SSTI), то есть серверной инъекции шаблонов. Она возникает в механизме обработки Twig-шаблонов - популярной системы для генерации HTML. Разработчики не активировали изолированную среду исполнения (sandbox) при вызове функции "createTemplate()" в методе "renderString()". В результате атакующий может внедрить в шаблон произвольные выражения на языке Twig, которые будут выполнены на сервере.

Наиболее опасным вектором атаки становится возможность получать доступ к внутреннему контейнеру внедрения зависимостей (dependency injection container). Через него, используя метод "getDi()" на объектах API-обработчиков, злоумышленник может напрямую взаимодействовать с ключевыми сервисами: PDO для неограниченных SQL-запросов, FilesystemAdapter для манипуляции кешем, а также с обработчиками сессий и паролей. Это позволяет обойти все прикладные контроли и выполнять произвольные операции чтения и записи в базе данных, перехватывать сессии и создавать учётные записи администраторов.

Для эксплуатации уязвимости в чистом виде требуются права администратора. Однако в связке с уже известной проблемой обхода аутентификации (GHSA-78×5-c8gw-8279) атака становится возможной и для неавторизованных пользователей. Такая комбинация даёт полное удалённое выполнение кода (RCE) без каких-либо учётных данных. Помимо серверной стороны, атака через функционал кастомных платёжных шлюзов может приводить к сохранённой межсайтовой сценарии (stored XSS) для конечных клиентов, что расширяет поверхность атаки в средах с общим хостингом или SaaS-биллингом.

Первые признаки активной эксплуатации появились в течение суток после публикации информации об уязвимости, несмотря на отсутствие публичного эксплойта. Согласно анализу компании DefusedCyber, зафиксирован трафик с IP-адреса 160.30.209[.]77, принадлежащего ASN AS137552 (Terabix). Это указывает не на массовое автоматическое сканирование, а на целенаправленную кампанию против определённых целей. Быстрая реализация атак говорит о том, что злоумышленники разработали собственный эксплойт.

Учитывая широту доступа через контейнер внедрения зависимостей, при обнаружении эксплуатации следует исходить из полной компрометации системы и запускать процедуру реагирования на инцидент. Помимо немедленного обновления до версии 0.8.0, необходимо провести тщательный аудит всех существующих Twig-шаблонов на наличие подозрительных выражений. Также рекомендуется ротация всех API-токенов, ограничение доступа к критическим конечным точкам, таким как "/api/system/*", через WAF или обратный прокси-сервер и проверка журналов на предмет соединений с указанным вредоносным IP.

IPv4

• 160.30.209.77