Pubblicato il 2026-06-29 · Fonte: NVD NIST
La vulnerabilità CVE-2026-40524 è una SQL injection presente nella funzione get_gl_transactions() di FrontAccounting, dove il parametro filter_type viene concatenato direttamente in una clausola SQL IN() senza parametrizzazione. Ciò consente ad attaccanti con permesso SA_GLANALYTIC di iniettare codice SQL arbitrario per estrarre dati sensibili di journal entry attraverso tecniche di boolean-based blind SQL injection. La CVSS Score di 8.1 indica un impatto alto.
Un attaccante può sfruttare questa vulnerabilità per estrarre dati sensibili di journal entry, potenzialmente compromettendo la sicurezza dei dati finanziari. I sistemi a rischio sono quelli che utilizzano versioni di FrontAccounting precedenti alla 2.4.20 e che concedono il permesso SA_GLANALYTIC agli utenti.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare FrontAccounting alla versione 2.4.20 o successiva. Inoltre, è importante limitare i permessi degli utenti e implementare controlli di sicurezza per prevenire l'iniezione di codice SQL. Se l'aggiornamento non è possibile, possono essere adottate configurazioni di sicurezza alternative per ridurre l'impatto della vulnerabilità.
La vulnerabilità CVE-2026-40524 è una SQL injection in FrontAccounting che consente ad attaccanti di estrarre dati sensibili.
L'impatto della vulnerabilità è alto, con una CVSS Score di 8.1, e può portare a estrazione di dati sensibili di journal entry.
Per proteggersi, è consigliabile aggiornare FrontAccounting alla versione 2.4.20 o successiva e limitare i permessi degli utenti.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.