CVE-2026-42877
ŚrednieStreszczenie
FacturaScripts to oprogramowanie do księgowości i fakturowania typu open source. W wersjach 2025.92 i wcześniejszych występuje podatność typu Cross-Site Scripting (XSS) w modalnym oknie wyszukiwania produktów, która pozwala na wykonanie dowolnego kodu JavaScript w przeglądarkach innych użytkowników.
Ocena ryzyka
Podatność ta może prowadzić do wykonania złośliwego kodu w przeglądarkach użytkowników, co stwarza ryzyko kradzieży danych lub przejęcia sesji. Złośliwy użytkownik z dostępem do modułu magazynowego może wykorzystać tę lukę do ataków na innych użytkowników.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji FacturaScripts, aby usunąć tę podatność. Dodatkowo, warto ograniczyć dostęp do modułu magazynowego tylko do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
FacturaScripts is an open source accounting and invoicing software. In 2025.92 and earlier, a stored Cross-Site Scripting (XSS) vulnerability exists in the product search modal of sales (Core/Lib/AjaxForms/SalesModalHTML.php) and purchases documents (Core/Lib/AjaxForms/PurchasesModalHTML.php). An authenticated user with access to the warehouse module can create a product with a malicious reference that executes arbitrary JavaScript in the browser of any other user who opens the product search modal inside an invoice, order, or delivery note.

