Pubblicato il 2026-06-29 · Fonte: NVD NIST
La versione di FrontAccounting precedente alla 2.4.20 contiene una vulnerabilità di iniezione SQL nell'handler del report di Audit Trail. Gli attaccanti autenticati con permesso SA_GLANALYTIC possono eseguire query SQL arbitrarie iniettando codice maligno nei parametri POST PARAM_2 e PARAM_3. Questa vulnerabilità può essere sfruttata per causare un denial of service esaurendo le connessioni al database o per estrarre contenuti di database arbitrari attraverso tecniche di iniezione basate su UNION.
Un attaccante può sfruttare questa vulnerabilità per eseguire query SQL arbitrarie, potenzialmente causando un denial of service o estrazione di dati sensibili. I sistemi a rischio sono quelli che utilizzano versioni di FrontAccounting precedenti alla 2.4.20 e che concedono il permesso SA_GLANALYTIC agli utenti.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare FrontAccounting alla versione 2.4.20 o successiva. Inoltre, è importante limitare i permessi degli utenti e monitorare le attività di database per rilevare eventuali tentativi di iniezione SQL.
La vulnerabilità CVE-2026-40523 è una vulnerabilità di iniezione SQL presente in versioni di FrontAccounting precedenti alla 2.4.20.
La vulnerabilità può essere sfruttata iniettando codice maligno nei parametri POST PARAM_2 e PARAM_3 dell'handler del report di Audit Trail.
Per proteggersi, è necessario aggiornare FrontAccounting alla versione 2.4.20 o successiva e limitare i permessi degli utenti.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.