发布日期：2026-02-04
更新日期：2026-04-13

受影响系统：

FacturaScripts FacturaScripts < 2025.81

描述：

---

CVE(CAN) ID: CVE-2026-25514

FacturaScripts是西班牙Carlos Garcia个人开发者的一个开源ERP软件。
FacturaScripts 2025.81之前版本存在SQL注入漏洞，该漏洞源于CodeModel::all()方法中，用户提供的参数被直接拼接到SQL查询中，未经清理或使用参数化绑定，攻击者可利用该漏洞从数据库中提取敏感数据包括用户凭据、配置设置以及所有存储的业务数据。

<*链接：https://github.com/NeoRazorX/facturascripts/security/advisories/GHSA-pqqg-5f4f-8952
*>

建议：

---

厂商补丁：

FacturaScripts
--------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/NeoRazorX/facturascripts/commit/1b6cdfa9ee1bb3365ea4a4ad753452035a027605

浏览次数：47
严重程度：0（网友投票）