Facebook Instagram Linkedin X-twitter
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en el software de A3factura

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en el software de A3factura

Aviso
Recursos Afectados

La versión de A3factura 4.111.2‑rev.1 está afectada.

Descripción

INCIBE ha coordinado la publicación de 4 vulnerabilidades de severidad media, que afectan al firmware de A3factura, software de facturación online para pymes y autónomos. Las vulnerabilidades han sido descubiertas por David Padilla Alvarado.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • Desde CVE-2026-2677 hasta CVE-2026-2680: 4.8 | CVSS:4.0/ AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Identificador
INCIBE-2026-148

Solución

El fix ha sido desplegado en producción en la versión 4.114.0‑rev.6, liberada el 17/02/2026.

Detalle

Cross-Site Scripting (XSS) reflejado en la plataforma web de A3factura, cuya explotación podría permitir a un atacante ejecutar código arbitrario en el navegador de la víctima.

La relación de parámetros y endpoints afectados es la siguiente:

  • CVE-2026-2677: parámetro ‘name‘, endpoint a3factura-app.wolterskluwer.es/#/incomes/representatives-management‘.
  • CVE-2026-2678: parámetro ‘name‘, endpoint ‘a3factura-app.wolterskluwer.es/#/incomes/customers‘.
  • CVE-2026-2679: parámetro ‘customerName‘, endpoint ‘a3factura-app.wolterskluwer.es/#/incomes/salesInvoices‘.
  • CVE-2026-2680: parámetro ‘customerVATNumber‘, endpoint ‘a3factura-app.wolterskluwer.es/#/incomes/salesDeliveryNotes‘.
3 – Media
Listado de referencias
Página web de A3factura

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-2677 Media No A3factura
CVE-2026-2678 Media No A3factura
CVE-2026-2679 Media No A3factura
CVE-2026-2680 Media No A3factura

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.