H4Cd0C

**Nome do Software Vulnerável e Versões Afetadas** Versões do FacturaScripts anteriores à 2025.8 **Descrição** O FacturaScripts está suscetível a uma vulnerabilidade de cross-site scripting (XSS) refletido decorrente do tratamento inadequado de mensagens de erro. A aplicação utiliza o filtro `| raw` do Twig, que contorna o escape de HTML. Quando ocorre um erro de banco de dados — como fornecer uma string onde se espera um inteiro — a mensagem de erro resultante, incluindo a entrada, é renderizada sem sanitização. Isso permite que atacantes injetem scripts maliciosos na mensagem de erro, potencialmente levando ao phishing de credenciais ou outros ataques. A vulnerabilidade existe no arquivo `Core/View/Macro/Utils.html.twig`, especificamente na linha 27. O problema é acionado ao enviar entrada manipulada através de parâmetros como `code` em endpoints de API tais como `/EditProducto?code=`, `/EditCliente?code=`, `/EditFacturaCliente?code=` e `/EditProveedor?code=`. O registro de erro ocorre em `Core/Base/DataBase.php` por volta da linha 236. Os atacantes podem aproveitar isso para roubar credenciais injetando um formulário de login falso, ler dados da página ou potencialmente executar keyloggers e contornar proteções CSRF. **Recomendações** Versões anteriores à 2025.8: Remova `| raw` da linha 27 em `Core/View/Macro/Utils.html.twig`.