← Back
CVE-2026-27891
high
CVSS 7.2
FacturaScripts is an open source accounting and invoicing software. Versions 2026 and below contain a critical vulnerability in the Plugins::add() function. The system fails to properly validate the f...
Summary
FacturaScripts is an open source accounting and invoicing software. Versions 2026 and below contain a critical vulnerability in the Plugins::add() function. The system fails to properly validate the file paths within uploaded ZIP archives. This allows an attacker to perform a Zip Slip attack, leadin...
AI summary openai / gpt-4o
FacturaScriptsのバージョン2026およびそれ以前には、アップロードされたZIPアーカイブ内のファイルパスを正しく検証しない致命的な脆弱性があります。この脆弱性により、Zip Slip攻撃を通じて任意のファイル書き込みやリモートコード実行が可能になります。問題はPlugins.phpのPlugins::add()関数にあります。
❓ What is the problem
アップロードされたZIPアーカイブ内のファイルパスを正しく検証しないための脆弱性
📍 Affected scope
FacturaScriptsのPlugins.php, Plugins::add()関数
🔥 Severity
この脆弱性により、任意のファイル書き込みやリモートコード実行が可能です。
🔧 How to fix
バージョン2026.1にアップデートしてください。
🛡️ Workaround
情報なし
🔍 Detection
アップロードされたZIPファイルのファイルパスのサニタイズおよび検証を行っているか確認してください。