CVE-2026-8802

Nome do Software Vulnerável e Versões Afetadas opensourcepos Open Source Point of Sale versões anteriores a 3.4.3

Descrição Um problema de path traversal existe na função getPicThumb() dentro do arquivo app/Controllers/Items.php. Isso ocorre devido à manipulação inadequada do argumento pic filename, o que permite que um invasor remoto acesse arquivos e diretórios fora da pasta pretendida.

Recomendações Aplique o patch def0c27a0e252668df8d942fc31e16d1edfd7323 para remediar o problema. Como medida paliativa temporária, restrinja o acesso à função getPicThumb() até que o patch seja aplicado.