Plateforme
other
Composant
invoiceshelf
Corrigé dans
2.2.1
InvoiceShelf, une application web et mobile open-source pour la gestion des factures et des paiements, présente une vulnérabilité SSRF (Server-Side Request Forgery). Cette faille, présente dans les versions inférieures ou égales à 2.2.0, permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources externes. L'exploitation se fait via le module de génération de PDF des reçus de paiement, et la correction a été implémentée dans la version 2.2.0.
L'exploitation de cette vulnérabilité SSRF permet à un attaquant de récupérer des données sensibles hébergées sur des serveurs internes ou externes accessibles depuis le serveur InvoiceShelf. Un attaquant pourrait, par exemple, accéder à des informations confidentielles stockées sur des services cloud internes, ou même effectuer des actions sur d'autres systèmes en utilisant le serveur InvoiceShelf comme proxy. Le fait que la vulnérabilité soit exploitable directement via l'endpoint PDF, même sans envoi automatique par email, augmente considérablement sa surface d'attaque et son potentiel d'impact. Cette vulnérabilité rappelle les risques associés aux injections HTML non filtrées, où le contenu fourni par l'utilisateur est directement utilisé dans le rendu d'une page web.
Cette vulnérabilité a été rendue publique le 2026-03-31. Aucune information concernant une exploitation active n'est disponible à ce jour. L'absence de PoC public ne signifie pas que la vulnérabilité n'est pas exploitable, mais indique un risque actuellement considéré comme modéré. Il est recommandé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Organizations and individuals using InvoiceShelf versions prior to 2.2.0, particularly those who rely on the PDF receipt generation feature for payment processing, are at risk. Shared hosting environments where multiple users share the same InvoiceShelf instance are especially vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.
• linux / server:
journalctl -u invoiceshelf | grep -i "dompdf"• generic web:
curl -I 'https://<invoiceShelf_URL>/receipt.pdf?notes=<malicious_html>' | grep 'Server:'disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La solution principale consiste à mettre à jour InvoiceShelf vers la version 2.2.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures d'atténuation. Il est crucial de désactiver temporairement la génération de PDF des reçus de paiement si possible. Si cela n'est pas possible, configurez un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des balises HTML suspectes dans le paramètre 'Notes'. Vérifiez également la configuration de Dompdf pour limiter les domaines autorisés à être récupérés. Après la mise à jour, vérifiez que la génération de PDF des reçus de paiement fonctionne correctement et qu'aucune requête externe non autorisée n'est effectuée.
Mettez à jour InvoiceShelf à la version 2.2.0 ou ultérieure. Cette version corrige la vulnérabilité SSRF en nettoyant l'entrée HTML dans le champ Notes du paiement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34366 is a Server-Side Request Forgery (SSRF) vulnerability affecting InvoiceShelf versions 2.2.0 and earlier. It allows attackers to make requests to arbitrary URLs through the application's PDF receipt generation module.
You are affected if you are using InvoiceShelf version 2.2.0 or earlier. Upgrade to version 2.2.0 to resolve the vulnerability.
Upgrade InvoiceShelf to version 2.2.0 or later. As a temporary workaround, implement a WAF rule to block suspicious HTML in the payment notes field.
No active exploitation has been confirmed at this time, but the vulnerability's ease of exploitation warrants caution.
Refer to the InvoiceShelf project's official website and GitHub repository for the latest security advisories and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.