CVE-2026-40522
WysokieCVSS 7.1Streszczenie
W FrontAccounting przed wersją 2.4.20 występuje podatność na wstrzykiwanie SQL w module raportu wyciągu bankowego. Uwierzytelniony atakujący może wstrzyknąć złośliwe zapytania UNION SELECT do parametru PARAM_0 POST, co pozwala na wyodrębnienie dowolnych danych z bazy, w tym nazw użytkowników, skrótów haseł i adresów e-mail, które są renderowane w raporcie PDF.
Ocena ryzyka
Ryzyko polega na możliwości kradzieży wrażliwych danych uwierzytelniających (nazwy użytkowników, skróty haseł) oraz adresów e-mail, co może prowadzić do eskalacji uprawnień, przejęcia kont i naruszenia poufności systemu.
Rekomendacja
Należy natychmiast zaktualizować FrontAccounting do wersji 2.4.20 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy tymczasowo ograniczyć dostęp do modułu raportów bankowych tylko dla zaufanych administratorów.
Oryginalny opis (angielski, źródło NVD)
FrontAccounting before 2.4.20 contains a SQL injection vulnerability in the Bank Statement report handler that allows authenticated attackers to extract arbitrary database data by injecting UNION SELECT payloads into the PARAM_0 POST parameter. Attackers can supply malicious SQL syntax through the unparameterized WHERE clause to retrieve sensitive information including usernames, password hashes, and email addresses from the users table, rendered into PDF report output.

