漏洞关键信息 基本信息 漏洞名称: SQL Injection in Autocomplete Actions 漏洞编号: GHSA-pqgg-5f4f-8952 CVE编号: CVE-2026-25514 发现者: Lukasz Rybak 严重性: 高 (severity: 8.7/10) 影响版本 受影响版本: <= 2025.71 修复版本: 无 漏洞描述 FacturaScripts的 方法在没有进行任何验证或转义的情况下,直接将用户提供的参数拼接到SQL查询中,导致SQL注入漏洞。 漏洞细节 易受影响的控制器: 、 、 等 易受影响的参数: 、 、 攻击流程: 1. 通过有效凭证进行身份认证 2. 发送POST请求到 并设置 3. 通过 参数注入恶意SQL查询 4. 应用程序执行注入的SQL查询并返回结果 5. 攻击者从数据库中提取敏感数据 证明概念 (PoC) 前置条件: - 有效的身份验证凭据 - 访问FacturaScripts的网络界面 手动利用步骤: 获取令牌、登录、执行SQL注入、提取数据库信息等 影响 数据保密性: - 完整的数据库泄露,包括用户凭据、客户信息、财务记录、业务逻辑和配置数据等 受影响对象: - 所有运行易受攻击版本的FacturaScripts安装 - 所有认证用户(不仅是管理员) - 使用FacturaScripts进行会计/发票的商家 - 数据存储在系统中的客户 修复建议 立即修复: 使用预编译SQL语句