Vulnerabilidad en FacturaScripts de NeoRazorX (CVE-2026-23476)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

02/02/2026

Última modificación:

23/02/2026

Descripción

FacturaScripts es un software de planificación de recursos empresariales y contabilidad de código abierto. Antes de la versión 2025.8, existía un fallo de XSS reflejado en FacturaScripts. El problema radica en cómo se muestran los mensajes de error. Se utiliza el filtro |raw de Twig, lo que omite el escape de HTML. Al activar un error de base de datos (como pasar una cadena donde se espera un número entero), el mensaje de error incluye la entrada y se renderiza sin sanitización. Esta vulnerabilidad se ha corregido en la versión 2025.8.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno