← 戻る
CVE-2026-27891
high
CVSS 7.2
FacturaScripts is an open source accounting and invoicing software. Versions 2026 and below contain a critical vulnerability in the Plugins::add() function. The system fails to properly validate the f...
概要
FacturaScripts is an open source accounting and invoicing software. Versions 2026 and below contain a critical vulnerability in the Plugins::add() function. The system fails to properly validate the file paths within uploaded ZIP archives. This allows an attacker to perform a Zip Slip attack, leadin...
AI要約 openai / gpt-4o
FacturaScriptsのバージョン2026およびそれ以前には、アップロードされたZIPアーカイブ内のファイルパスを正しく検証しない致命的な脆弱性があります。この脆弱性により、Zip Slip攻撃を通じて任意のファイル書き込みやリモートコード実行が可能になります。問題はPlugins.phpのPlugins::add()関数にあります。
❓ 何が問題か
アップロードされたZIPアーカイブ内のファイルパスを正しく検証しないための脆弱性
📍 影響範囲
FacturaScriptsのPlugins.php, Plugins::add()関数
🔥 重要度
この脆弱性により、任意のファイル書き込みやリモートコード実行が可能です。
🔧 修正方法
バージョン2026.1にアップデートしてください。
🛡️ 暫定回避
情報なし
🔍 検知方法
アップロードされたZIPファイルのファイルパスのサニタイズおよび検証を行っているか確認してください。