PT-2026-38617 · Unknown · Facturascripts
Guzrex
·
Publicado
2026-05-07
·
Atualizado
2026-05-27
·
CVE-2026-42879
CVSS v3.1
6.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
FacturaScripts versões anteriores a 2025.81
Descrição
Um problema de upload de arquivos irrestrito e autenticado existe na funcionalidade de upload de imagens de produtos. Um invasor com credenciais válidas pode burlar a validação do tipo MIME ao prefixar bytes mágicos GIF89a a um arquivo PHP, fazendo com que o sistema o identifique incorretamente como uma imagem. A vulnerabilidade está localizada na função
addImageAction() dentro de Core/Lib/ExtendedController/ProductImagesTrait.php. Como o sistema salva os arquivos usando seus nomes originais, um invasor pode fazer o upload de arquivos executáveis com extensões como .php para um diretório acessível via web, potencialmente levando à execução remota de código.Recomendações
Para versões anteriores a 2025.81, implemente as seguintes medidas:
- Validar as extensões dos arquivos para rejeitar qualquer upload que termine em
.php,.phtml,.pharou outras extensões executáveis. - Regenerar os nomes dos arquivos no servidor usando um nome seguro baseado em UUID em vez de usar
getClientOriginalName(). - Armazenar arquivos carregados fora do webroot e servi-los através de um controlador para evitar a execução direta via URL.
- Utilizar uma biblioteca de tipos de arquivos para validar o conteúdo real do arquivo, incluindo bytes mágicos, extensões e tipos MIME, em vez de confiar nos dados fornecidos pelo cliente.
- Como medida paliativa temporária, restrinja o acesso à função
addImageAction()ou ao componenteCore/Lib/ExtendedController/ProductImagesTrait.phppara minimizar o risco de exploração.
Correção
Code Injection
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Facturascripts