CVE-2026-40524

Nome do Software Vulnerável e Versões Afetadas FrontAccounting versões anteriores a 2.4.20

Description Existe um problema na função get gl transactions() onde o parâmetro filter type é concatenado diretamente em uma cláusula SQL IN() sem a devida parametrização. Isso permite que usuários com a permissão SA GLANALYTIC realizem uma injeção de SQL cega baseada em booleano—uma técnica usada para extrair dados observando diferenças nas respostas do servidor a consultas verdadeiras ou falsas—fornecendo um parêntese de fechamento seguido de condições maliciosas para extrair dados sensíveis de lançamentos de diário.

Recommendations Atualize o FrontAccounting para a versão 2.4.20 ou posterior. Como medida paliativa temporária, restrinja a permissão SA GLANALYTIC apenas a usuários confiáveis.