CVE-2026-48244Open ISES Tickets 在 3.44.2 之前的版本中存在安全隐患。该产品的 `settings.inc.php` 文件中硬编码了一个 Google Maps API 密钥,并且该文件被提交到了公共源代码仓库中。由于密钥是以明文形式存储的,任何拥有源代码读取权限的人都可以提取该密钥。攻击者可以利用获取到的密钥发起 Google Maps Platform 请求,导致相关的费用由原所有者的 Google Cloud 项目承担,造成经济损失。
该漏洞属于典型的硬编码凭证问题。在 Open ISES Tickets 受影响版本的源代码中,开发者将 Google Maps API 密钥直接写入了 `settings.inc.php` 配置文件。由于该文件被意外提交至公开的版本控制系统(如 GitHub),导致密钥暴露在公网环境中。攻击者无需任何特权或用户交互,只需访问公共代码库即可获取该密钥。获取密钥后,攻击者可以将其用于调用 Google Maps 的各项服务(如地图渲染、地理编码等)。由于 API 请求验证仅依赖于密钥的有效性,Google 无法区分请求是由合法应用发起还是由第三方恶意发起,因此产生的所有流量和费用均会由密钥持有者承担。