Plateforme
python
Composant
inventree
Corrigé dans
1.2.8
CVE-2026-39362 is a Server-Side Request Forgery (SSRF) vulnerability affecting InvenTree versions 1.2.0 through 1.2.6. This flaw allows authenticated users to trigger server-side requests to arbitrary URLs, potentially exposing internal resources or performing unauthorized actions. The vulnerability is resolved in versions 1.2.7 and 1.3.0, and users are strongly advised to upgrade immediately.
La vulnérabilité CVE-2026-39362 dans InvenTree affecte les versions antérieures à 1.2.7 et 1.3.0 lorsque l'option INVENTREEDOWNLOADFROMURL est activée. Elle permet aux utilisateurs authentifiés de fournir des URL d'images distantes qui sont récupérées côté serveur via requests.get() avec uniquement la vérification URLValidator de Django. Il n'y a pas de validation contre les plages d'adresses IP privées ou les noms d'hôte internes. Les redirections sont suivies (allowredirects=True), ce qui permet de contourner toute vérification du format d'URL. Cela pourrait permettre à un attaquant de diriger le système vers le téléchargement de contenu malveillant à partir d'une source interne ou externe non autorisée, compromettant potentiellement l'intégrité du système et la confidentialité des données.
Un attaquant authentifié au sein du système InvenTree peut exploiter cette vulnérabilité. En fournissant une URL malveillante, le serveur téléchargera le contenu de cette URL, exécutant potentiellement du code malveillant ou exposant des informations sensibles. La possibilité de suivre les redirections amplifie le risque, car un attaquant peut utiliser des redirections pour masquer la destination finale du téléchargement. La complexité de l'exploitation dépend de la connaissance de l'attaquant de la configuration du système et de sa capacité à manipuler les URL.
Organizations using InvenTree for inventory management, particularly those with the INVENTREEDOWNLOADFROM_URL setting enabled, are at risk. Shared hosting environments where InvenTree is deployed alongside other applications are also vulnerable, as a compromised InvenTree instance could potentially be used to attack other services on the same server.
• python / server:
# Check for the presence of the vulnerable code in the InvenTree codebase.
grep -r 'requests.get(url, allow_redirects=True)' /path/to/inventree/source• generic web:
# Monitor access logs for requests to internal IP addresses or unusual domains originating from authenticated InvenTree users.
grep '127.0.0.1' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
La correction de cette vulnérabilité consiste à mettre à jour InvenTree vers la version 1.2.7 ou supérieure, ou vers la version 1.3.0. Ces versions incluent des validations supplémentaires pour les URL téléchargées, empêchant l'accès aux adresses IP privées et aux noms d'hôte internes. Si une mise à jour immédiate n'est pas possible, il est recommandé de désactiver l'option INVENTREEDOWNLOADFROM_URL jusqu'à ce que la mise à jour puisse être appliquée. Il est également essentiel de revoir et de renforcer les politiques de sécurité du réseau pour limiter l'accès aux ressources internes à partir de sources externes.
Actualice InvenTree a la versión 1.2.7 o superior para mitigar la vulnerabilidad de SSRF. La actualización corrige la falta de validación en las URLs de descarga de imágenes remotas, previniendo que usuarios autenticados puedan acceder a recursos internos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
InvenTree est un système de gestion des stocks open source.
Si vous utilisez une version d'InvenTree antérieure à 1.2.7 ou 1.3.0 et que l'option INVENTREEDOWNLOADFROM_URL est activée, vous êtes vulnérable.
C'est une option de configuration qui permet à InvenTree de télécharger des images directement à partir d'URL fournies par les utilisateurs.
Désactivez l'option INVENTREEDOWNLOADFROM_URL jusqu'à ce que vous puissiez mettre à jour vers une version sécurisée.
Passez en revue et renforcez les politiques de sécurité de votre réseau pour limiter l'accès aux ressources internes à partir de sources externes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.