CVE-2026-25513

Nome do Software Vulnerável e Versões Afetadas Versões do FacturaScripts anteriores a 2025.81

Descrição O FacturaScripts, um software de planejamento de recursos empresariais e contabilidade de código aberto, contém uma vulnerabilidade crítica de injeção de SQL em sua API REST. Usuários autenticados da API podem executar consultas SQL arbitrárias através do parâmetro sort. O problema reside no método getOrderBy() da ModelClass, onde parâmetros de ordenação fornecidos pelo usuário são incorporados diretamente na cláusula SQL ORDER BY sem validação ou sanitização adequada. Isso afeta todos os endpoints da API que suportam funcionalidade de ordenação.

Recomendações Atualize para a versão 2025.81 ou posterior.