Plattform
python
Komponente
inventree
Behoben in
1.2.8
CVE-2026-39362 is a Server-Side Request Forgery (SSRF) vulnerability affecting InvenTree versions 1.2.0 through 1.2.6. This flaw allows authenticated users to trigger server-side requests to arbitrary URLs, potentially exposing internal resources or performing unauthorized actions. The vulnerability is resolved in versions 1.2.7 and 1.3.0, and users are strongly advised to upgrade immediately.
Die CVE-2026-39362-Schwachstelle in InvenTree betrifft Versionen vor 1.2.7 und 1.3.0, wenn die Option INVENTREEDOWNLOADFROMURL aktiviert ist. Sie ermöglicht authentifizierten Benutzern, Remote-Image-URLs anzugeben, die serverseitig über requests.get() mit nur der Django URLValidator-Prüfung abgerufen werden. Es gibt keine Validierung gegen private IP-Bereiche oder interne Hostnamen. Weiterleitungen werden verfolgt (allowredirects=True), wodurch jede URL-Formatprüfung umgangen werden kann. Dies könnte es einem Angreifer ermöglichen, das System dazu zu bringen, bösartigen Inhalt von einer nicht autorisierten internen oder externen Quelle herunterzuladen, wodurch die Integrität des Systems und die Vertraulichkeit von Daten potenziell gefährdet werden.
Ein authentifizierter Angreifer innerhalb des InvenTree-Systems kann diese Schwachstelle ausnutzen. Durch die Angabe einer bösartigen URL wird der Server den Inhalt dieser URL herunterladen, potenziell bösartigen Code ausführen oder sensible Informationen preisgeben. Die Möglichkeit, Weiterleitungen zu verfolgen, erhöht das Risiko, da ein Angreifer Weiterleitungen verwenden kann, um das endgültige Ziel des Downloads zu verschleiern. Die Komplexität der Ausnutzung hängt vom Kenntnisstand des Angreifers über die Systemkonfiguration und seiner Fähigkeit ab, URLs zu manipulieren.
Organizations using InvenTree for inventory management, particularly those with the INVENTREEDOWNLOADFROM_URL setting enabled, are at risk. Shared hosting environments where InvenTree is deployed alongside other applications are also vulnerable, as a compromised InvenTree instance could potentially be used to attack other services on the same server.
• python / server:
# Check for the presence of the vulnerable code in the InvenTree codebase.
grep -r 'requests.get(url, allow_redirects=True)' /path/to/inventree/source• generic web:
# Monitor access logs for requests to internal IP addresses or unusual domains originating from authenticated InvenTree users.
grep '127.0.0.1' /var/log/apache2/access.logdisclosure
Exploit-Status
EPSS
0.04% (13% Perzentil)
CISA SSVC
Die Behebung dieser Schwachstelle besteht darin, InvenTree auf Version 1.2.7 oder höher oder auf Version 1.3.0 zu aktualisieren. Diese Versionen enthalten zusätzliche Validierungen für heruntergeladene URLs, die den Zugriff auf private IP-Adressen und interne Hostnamen verhindern. Wenn ein sofortiges Update nicht möglich ist, wird empfohlen, die Option INVENTREEDOWNLOADFROM_URL zu deaktivieren, bis das Update angewendet werden kann. Es ist auch entscheidend, die Netzwerksicherheitsrichtlinien zu überprüfen und zu verstärken, um den Zugriff auf interne Ressourcen von externen Quellen zu beschränken.
Actualice InvenTree a la versión 1.2.7 o superior para mitigar la vulnerabilidad de SSRF. La actualización corrige la falta de validación en las URLs de descarga de imágenes remotas, previniendo que usuarios autenticados puedan acceder a recursos internos.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
InvenTree ist ein Open-Source-Bestandsverwaltungssystem.
Wenn Sie eine Version von InvenTree vor 1.2.7 oder 1.3.0 verwenden und die Option INVENTREEDOWNLOADFROM_URL aktiviert haben, sind Sie anfällig.
Es ist eine Konfigurationsoption, die InvenTree das Herunterladen von Bildern direkt von URLs ermöglicht, die von Benutzern bereitgestellt werden.
Deaktivieren Sie die Option INVENTREEDOWNLOADFROM_URL, bis Sie auf eine sichere Version aktualisieren können.
Überprüfen und verstärken Sie die Netzwerksicherheitsrichtlinien, um den Zugriff auf interne Ressourcen von externen Quellen zu beschränken.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.