Múltiples vulnerabilidades en el software de A3factura
La versión de A3factura 4.111.2‑rev.1 está afectada.
INCIBE ha coordinado la publicación de 4 vulnerabilidades de severidad media, que afectan al firmware de A3factura, software de facturación online para pymes y autónomos. Las vulnerabilidades han sido descubiertas por David Padilla Alvarado.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- Desde CVE-2026-2677 hasta CVE-2026-2680: 4.8 | CVSS:4.0/ AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
El fix ha sido desplegado en producción en la versión 4.114.0‑rev.6, liberada el 17/02/2026.
Cross-Site Scripting (XSS) reflejado en la plataforma web de A3factura, cuya explotación podría permitir a un atacante ejecutar código arbitrario en el navegador de la víctima.
La relación de parámetros y endpoints afectados es la siguiente:
- CVE-2026-2677: parámetro 'name', endpoint 'a3factura-app.wolterskluwer.es/#/incomes/representatives-management'.
- CVE-2026-2678: parámetro 'name', endpoint 'a3factura-app.wolterskluwer.es/#/incomes/customers'.
- CVE-2026-2679: parámetro 'customerName', endpoint 'a3factura-app.wolterskluwer.es/#/incomes/salesInvoices'.
- CVE-2026-2680: parámetro 'customerVATNumber', endpoint 'a3factura-app.wolterskluwer.es/#/incomes/salesDeliveryNotes'.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-2677 | Media | No | A3factura |
| CVE-2026-2678 | Media | No | A3factura |
| CVE-2026-2679 | Media | No | A3factura |
| CVE-2026-2680 | Media | No | A3factura |
