CVE-2026-27892 in FacturaScriptsالمعلومات

الملخص

بحسب VulDB • 19/05/2026

تُعد FacturaScripts برنامجًا مفتوح المصدر للمحاسبة والفوترة. في الإصدارات السابقة لـ 2026، يقوم وحدة المكتبة (Library) بتخزين وخدمة الصور المرفوعة بايت تلو الآخر، دون إزالة بيانات التعريف (Metadata) من نوع EXIF/XMP/IPTC. يمكن لأي مستخدم مُصادق عليه قام بتنزيل صورة استخراج بيانات التعريف المضمنة من قبل المُرفِع، والتي شملت إحداثيات GPS، ومعلومات الجهاز، والطوابع الزمنية، والتعليقات/الملاحظات المضمنة، ومعاينات الصور المصغرة، ومعلومات أخرى قابلة للتحديد الشخصي (PII) محفوظة في بيانات تعريف الصورة. من بين جميع ميزات رفع الصور في FacturaScripts، كانت وحدة المكتبة هي الوحيدة التي جمعت بين الرفع غير المقيد، والتخزين الدائم، وإمكانية الوصول للتنزيل بعد المصادقة، والافتقار التام إلى تنقية بيانات التعريف على جانب الخادم. تحمل هذه الثغرة تأثيرًا حقيقيًا كبيرًا: حيث يؤدي قيام موظف برفع صورة تم التقاطها في منزله إلى الكشف غير المقصود عن عنوان منزله الدقيق أمام كل مستخدم لديه صلاحية تنزيل من المكتبة. تم إصلاح هذه المشكلة في الإصدار 2026.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

إفشاء

19/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362023

CPE

جاهز

CWE

CWE-434 (مؤكد)

CVSS

6.5 (CNA)

EPSS

0.00034

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-27892
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-27892
CVE Details	https://www.cvedetails.com/cve/CVE-2026-27892/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!