CVE-2026-42878

Nome do Software Vulnerável e Versões Afetadas FacturaScripts versões anteriores a v2026

Description Um problema de divulgação de informações não autenticado no controlador Installer permite que um invasor remoto acione a função phpinfo() em uma implantação nova. Ao solicitar o endpoint "/" com o parâmetro phpinfo definido como "TRUE", um invasor pode expor a configuração completa do PHP, variáveis de ambiente do servidor, caminhos do sistema de arquivos e extensões carregadas. Essa exposição pode incluir dados sensíveis, como credenciais de banco de dados, chaves de API ou segredos de aplicativo armazenados como variáveis de ambiente.

Recommendations Atualize para a versão v2026. Como medida paliativa temporária, restrinja o acesso ao controlador Installer ou ao endpoint "/" até que a atualização seja aplicada.