प्लेटफ़ॉर्म
other
घटक
invoiceshelf
में ठीक किया गया
2.2.1
CVE-2026-34367 InvoiceShelf में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है। यह भेद्यता हमलावरों को दूरस्थ संसाधनों को पुनः प्राप्त करने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील डेटा का खुलासा हो सकता है या आंतरिक प्रणालियों तक अनधिकृत पहुंच प्राप्त हो सकती है। यह भेद्यता InvoiceShelf के संस्करण 2.2.0 से पहले के संस्करणों को प्रभावित करती है। संस्करण 2.2.0 में इस समस्या को ठीक कर दिया गया है।
इस SSRF भेद्यता का शोषण करने वाला एक हमलावर Invoice PDF पीढ़ी मॉड्यूल में उपयोगकर्ता-प्रदत्त HTML के माध्यम से दुर्भावनापूर्ण URL को इंजेक्ट कर सकता है। चूंकि HTML को Dompdf लाइब्रेरी को बिना सैनिटाइज किए पास किया जाता है, इसलिए यह लाइब्रेरी निर्दिष्ट URL से सामग्री को पुनः प्राप्त करेगी। यह भेद्यता PDF पूर्वावलोकन और ईमेल डिलीवरी एंडपॉइंट के माध्यम से ट्रिगर की जा सकती है। हमलावर आंतरिक सेवाओं तक पहुंच प्राप्त कर सकते हैं, संवेदनशील डेटा उजागर कर सकते हैं, या अन्य दुर्भावनापूर्ण क्रियाएं कर सकते हैं, जैसे कि आंतरिक नेटवर्क पर स्कैनिंग या डेटा चोरी। इस भेद्यता का प्रभाव आंतरिक प्रणालियों की सुरक्षा और डेटा गोपनीयता पर गंभीर प्रभाव डाल सकता है।
CVE-2026-34367 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन SSRF भेद्यताएं अक्सर शोषण के लिए लक्षित होती हैं। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, शोषण की संभावना बनी हुई है। यह भेद्यता CISA KEV सूची में शामिल नहीं है। NVD प्रकाशन तिथि 2026-03-31 है।
Organizations using InvoiceShelf for expense and invoice management, particularly those with legacy configurations or shared hosting environments, are at risk. Users who rely on the PDF generation functionality and have not implemented input validation measures are especially vulnerable.
• linux / server:
journalctl -u invoiceshelf | grep -i "dompdf" -i "remote resource"• generic web:
curl -I 'https://<invoiceshelf_url>/pdf/preview?invoice_id=<invoice_id>¬es=<malicious_html>' | grep 'Location:'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34367 को कम करने के लिए, InvoiceShelf को तुरंत संस्करण 2.2.0 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके बाहरी URL तक पहुंच को सीमित करें। Invoice PDF पीढ़ी मॉड्यूल में उपयोगकर्ता इनपुट को मान्य और सैनिटाइज करने के लिए अतिरिक्त सुरक्षा उपाय लागू करें। Dompdf लाइब्रेरी के नवीनतम संस्करण का उपयोग करें जिसमें SSRF सुरक्षा में सुधार शामिल हैं। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग आंतरिक प्रणालियों की सुरक्षा को मजबूत करने में मदद कर सकते हैं।
InvoiceShelf को संस्करण 2.2.0 या बाद के संस्करण में अपडेट करें। यह संस्करण इनवॉइस नोट्स फ़ील्ड में HTML इनपुट को सैनिटाइज करके SSRF भेद्यता को ठीक करता है। यह Dompdf लाइब्रेरी को अवांछित रिमोट संसाधनों को प्राप्त करने से रोकेगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-34367 InvoiceShelf में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो हमलावरों को दूरस्थ संसाधनों को पुनः प्राप्त करने की अनुमति देती है।
यदि आप InvoiceShelf के संस्करण 2.2.0 से पहले का संस्करण चला रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
InvoiceShelf को तुरंत संस्करण 2.2.0 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो WAF का उपयोग करें या बाहरी URL तक पहुंच को सीमित करें।
CVE-2026-34367 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन शोषण की संभावना बनी हुई है।
कृपया InvoiceShelf की आधिकारिक वेबसाइट या सुरक्षा सलाहकार अनुभाग देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।