CVE-2026-42877

Nome do Software Vulnerável e Versões Afetadas FacturaScripts versões anteriores a 2025.92

Description Um problema de Cross-Site Scripting (XSS) armazenado existe no modal de busca de produtos de documentos de vendas e compras. Um usuário autenticado com acesso ao módulo de armazém pode criar um produto com uma referência maliciosa que executa JavaScript arbitrário no navegador de qualquer outro usuário que abra o modal de busca de produtos dentro de uma fatura, pedido ou nota de entrega. O problema ocorre porque a variável referencia é injetada em um atributo HTML onclick sem a devida neutralização de contexto JavaScript. Quando o HTML do modal é inserido no DOM via innerHTML, o navegador decodifica os caracteres, permitindo que o invasor saia da literal de string do JavaScript e execute código. Isso pode levar à escalada de privilégios, onde um usuário de baixo privilégio executa scripts na sessão de um administrador para realizar ações não autorizadas, como criar novos usuários administradores através do endpoint /EditUser ou exfiltrar dados comerciais.

Recommendations Atualize para uma versão posterior a 2025.92. Como medida paliativa temporária, restrinja o acesso ao módulo de armazém apenas a usuários confiáveis para evitar a criação de referências de produtos maliciosas. Evite usar o campo referencia para produtos criados por usuários não confiáveis até que o sistema seja atualizado.