CVE-2026-32712

Name of the Vulnerable Software and Affected Versions Open Source Point of Sale versões anteriores a 3.4.3

Description Open Source Point of Sale, um aplicativo de ponto de venda baseado na web escrito em PHP usando o framework CodeIgniter, contém um problema de Cross-Site Scripting (XSS) armazenado na tabela de gerenciamento de Vendas Diárias. A coluna customer name está configurada com escape: false na configuração da coluna bootstrap-table, o que renderiza os nomes dos clientes como HTML bruto. Um invasor com permissões de gerenciamento de clientes pode injetar JavaScript arbitrário no campo first name ou last name de um cliente. Este código injetado é executado no navegador de qualquer usuário que visualize a página de Vendas Diárias.

Recommendations Atualize para a versão 3.4.3 ou posterior.