Vulnerabilities ›

CVE-2026-2678

Medium

Reflected Cross-Site Scripting (XSS) on the A3factura web platform, in parameter 'name', parameter 'name', in 'a3factura-app.wolterskluwer.es/#/incomes/customers' endpoint, which could allow an attack

CWE-79 — Weakness Type

                    Published: Feb 26, 2026                      ·  Modified: Mar 5, 2026                      ·  Source: NVD                

CVSS v3

6.1

🔗 NVD Official

📄 Description (English)

🤖 AI Executive Summary

A reflected XSS vulnerability exists in A3factura web platform's customer income endpoint via the 'name' parameter, allowing attackers to execute arbitrary JavaScript in users' browsers. This affects organizations using Wolters Kluwer's A3factura invoicing solution.

📄 Description (Arabic)

ثغرة XSS انعكاسية في منصة A3factura من Wolters Kluwer تؤثر على نقطة النهاية الخاصة بدخل العملاء. يمكن للمهاجمين استغلال معامل 'name' غير المحمي لحقن كود JavaScript ضار. قد يؤدي هذا إلى سرقة بيانات المستخدم أو جلسات العمل أو تنفيذ إجراءات غير مصرح بها.

🤖 ملخص تنفيذي (AI)

ثغرة XSS انعكاسية موجودة في منصة A3factura عبر معامل 'name' في نقطة نهاية دخل العملاء، مما يسمح للمهاجمين بتنفيذ كود JavaScript عشوائي في متصفحات المستخدمين. يؤثر هذا على المنظمات التي تستخدم حل الفواتير A3factura من Wolters Kluwer.

🤖 AI Intelligence Analysis Analyzed: May 24, 2026 06:20

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking government healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1566

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Update A3factura to the latest patched version immediately. Implement input validation and output encoding for the 'name' parameter. Deploy Web Application Firewall (WAF) rules to detect and block XSS payloads. Conduct security awareness training for users regarding suspicious links. Monitor access logs for exploitation attempts.

🔧 خطوات المعالجة (العربية)

قم بتحديث A3factura إلى أحدث إصدار معدل فوراً. طبق التحقق من صحة المدخلات وترميز المخرجات لمعامل 'name'. نشر قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن حمولات XSS وحجبها. إجراء تدريب على الوعي الأمني للمستخدمين بشأن الروابط المريبة. مراقبة سجلات الوصول لمحاولات الاستغلال.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1 5.2

🔵 SAMA CSF

ID.GV-4 PR.DS-6

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 References & Sources 1

🔗

https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-a3factura-s...

cve-coordination@incibe.es

Third Party Advisory

📦 Affected Products / CPE 1 entries

wolterskluwer:a3factura:4.111.2

📊 CVSS Score

6.1

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.1

CWECWE-79

Exploit No

Patch ✗ No

Published 2026-02-26

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-79

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-2678

Introduce Yourself

Sign In Required