CVE-2026-32699

Nome do Software Vulnerável e Versões Afetadas FacturaScripts (versões afetadas não especificadas)

Descrição Existe uma falha de Controle de Acesso Quebrado na lógica de atualização de usuário. A aplicação não valida o parâmetro nick durante uma requisição 'POST' para o endpoint '/EditUser'. Embora a interface do usuário impeça a edição deste campo, um usuário pode burlar essa restrição usando um proxy para renomear qualquer conta, incluindo a do Administrador. Isso permite que um invasor sabote a trilha de auditoria do sistema, realize ações maliciosas e renomeie sua conta para evitar a detecção ou incriminar outros usuários, o que pode levar à falsificação de identidade e corrupção de dados devido a referências internas órfãs.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso ao endpoint '/EditUser' ou implemente a validação no lado do servidor para garantir que o parâmetro nick não possa ser modificado.