CVE-2025-68434

Nome do Software Vulnerável e Versões Afetadas Open Source Point of Sale versões 3.4.0 a 3.4.1

Descrição Open Source Point of Sale é uma aplicação de ponto de venda baseada na web, escrita em PHP utilizando o framework CodeIgniter. As versões 3.4.0 a 3.4.1 apresentam uma vulnerabilidade de Cross-Site Request Forgery (CSRF) porque o mecanismo de proteção CSRF foi explicitamente desativado. Isso permite que um atacante remoto não autenticado crie uma página web maliciosa que, quando visitada por um administrador logado, força o navegador a enviar solicitações não autorizadas para a aplicação. Um exploit bem-sucedido permite que o atacante crie uma nova conta de Administrador com privilégios totais, levando a uma tomada de controle completa do sistema. A vulnerabilidade está relacionada à configuração do filtro CSRF em app/Config/Filters.php.

Recomendações As versões 3.4.0 e 3.4.1 devem ser atualizadas para a versão 3.4.2. Como medida de contorno temporária, os administradores podem reativar manualmente o filtro CSRF em app/Config/Filters.php descomentando a linha de proteção, mas isso não é recomendado sem aplicar o patch completo devido ao potencial de quebra de funcionalidade no módulo de Vendas.