CVE-2026-23997

Nome do Software Vulnerável e Versões Afetadas Versões do FacturaScripts 2025.71 e anteriores

Descrição O software FacturaScripts contém uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado no campo Observações na visualização do Histórico. O aplicativo não codifica adequadamente as entidades HTML ao renderizar dados históricos. Isso permite que um atacante insira e execute código JavaScript arbitrário no navegador de administradores que visualizam o histórico. A vulnerabilidade pode ser explorada ao fazer login como um usuário comum, criar ou editar uma Nota de Entrega, inserir código JavaScript malicioso no campo Observações e, em seguida, fazer com que um administrador visualize a guia do Histórico dessa nota. Uma exploração bem-sucedida pode levar à tomada completa de conta, permitindo que o atacante obtenha controle total do sistema, incluindo acesso a dados financeiros sensíveis e configurações de usuário. O ataque requer algum conhecimento da estrutura interna da API do aplicativo, que pode ser obtido por meio das ferramentas de desenvolvedor do navegador.

Recomendações Versões anteriores a 2025.71 devem ser atualizadas.