CVE-2026-42879 in FacturaScripts
Tóm tắt
Bởi VulDB • 27/05/2026
FacturaScripts là một phần mềm kế toán và hóa đơn mã nguồn mở. Trong các phiên bản 2025.81 và sớm hơn, tồn tại một lỗ hổng tải lên tệp không bị hạn chế (unrestricted file upload) đã xác thực trong chức năng tải lên hình ảnh sản phẩm của FacturaScripts. Kẻ tấn công có thông tin đăng nhập hợp lệ có thể tải lên một tệp PHP được ngụy trang dưới dạng hình ảnh GIF (sử dụng tiêu đề GIF89a), vượt qua xác thực loại MIME. Tệp được lưu trữ với phần mở rộng gốc của nó, bao gồm cả các phần mở rộng có thể thực thi như .php. Lỗ hổng tồn tại trong phương thức addImageAction() của tệp Core/Lib/ExtendedController/ProductImagesTrait.php.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.