Pubblicato il 2026-06-29 · Fonte: NVD NIST
La vulnerabilità CVE-2026-40521 è una vulnerabilità di path traversal presente in FrontAccounting, versioni precedenti alla 2.4.20. Questa vulnerabilità si verifica nell'handler di upload degli allegati e consente agli attaccanti autenticati di eseguire codice arbitrario caricando file con sequenze di traversal nel parametro unique_name. La gravità di questa vulnerabilità è classificata come alta, con un CVSS Score di 8.8.
Un attaccante può sfruttare questa vulnerabilità per scrivere file al di fuori della directory degli allegati intesi, potenzialmente raggiungendo la radice del web server. Caricando file PHP senza validazione dell'estensione, l'attaccante può ottenere l'esecuzione di codice remoto come utente del web server. Ciò può portare a gravi conseguenze, come l'accesso non autorizzato ai dati e il controllo del sistema.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare FrontAccounting alla versione 2.4.20 o successiva. In assenza di un aggiornamento disponibile, è importante implementare controlli di sicurezza come la validazione degli input degli utenti e la limitazione dell'accesso alla directory degli allegati. Inoltre, è fondamentale monitorare costantemente i log di sistema e di sicurezza per rilevare eventuali attività sospette.
La vulnerabilità CVE-2026-40521 è una vulnerabilità di path traversal in FrontAccounting che consente agli attaccanti autenticati di eseguire codice arbitrario.
Il CVSS Score della vulnerabilità CVE-2026-40521 è 8.8, classificata come alta.
Per proteggersi, è necessario aggiornare FrontAccounting alla versione 2.4.20 o successiva e implementare controlli di sicurezza come la validazione degli input degli utenti e la limitazione dell'accesso alla directory degli allegati.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.