प्लेटफ़ॉर्म
python
घटक
inventree
में ठीक किया गया
1.2.8
CVE-2026-39362 is a Server-Side Request Forgery (SSRF) vulnerability affecting InvenTree versions 1.2.0 through 1.2.6. This flaw allows authenticated users to trigger server-side requests to arbitrary URLs, potentially exposing internal resources or performing unauthorized actions. The vulnerability is resolved in versions 1.2.7 and 1.3.0, and users are strongly advised to upgrade immediately.
InvenTree में CVE-2026-39362 भेद्यता 1.2.7 से पहले और 1.3.0 संस्करणों को प्रभावित करती है, जब INVENTREEDOWNLOADFROMURL विकल्प सक्षम होता है। यह प्रमाणित उपयोगकर्ताओं को दूरस्थ छवि URL प्रदान करने की अनुमति देता है, जिन्हें Django के URLValidator जांच के साथ सर्वर-साइड पर requests.get() के माध्यम से प्राप्त किया जाता है। निजी IP रेंज या आंतरिक होस्टनाम के खिलाफ कोई सत्यापन नहीं है। रीडायरेक्ट का पालन किया जाता है (allowredirects=True), जिससे किसी भी URL प्रारूप जांच को बायपास किया जा सकता है। यह एक हमलावर को अनधिकृत आंतरिक या बाहरी स्रोत से दुर्भावनापूर्ण सामग्री डाउनलोड करने के लिए सिस्टम को निर्देशित करने की अनुमति दे सकता है, जिससे सिस्टम अखंडता और डेटा गोपनीयता से समझौता हो सकता है।
InvenTree सिस्टम के भीतर एक प्रमाणित हमलावर इस भेद्यता का फायदा उठा सकता है। दुर्भावनापूर्ण URL प्रदान करके, सर्वर उस URL की सामग्री डाउनलोड करेगा, जिससे संभावित रूप से दुर्भावनापूर्ण कोड निष्पादित होगा या संवेदनशील जानकारी उजागर होगी। रीडायरेक्ट का पालन करने की क्षमता जोखिम को बढ़ाती है, क्योंकि एक हमलावर डाउनलोड के अंतिम गंतव्य को छिपाने के लिए रीडायरेक्ट का उपयोग कर सकता है। शोषण की जटिलता हमलावर के सिस्टम कॉन्फ़िगरेशन के ज्ञान और URL को हेरफेर करने की क्षमता पर निर्भर करती है।
Organizations using InvenTree for inventory management, particularly those with the INVENTREEDOWNLOADFROM_URL setting enabled, are at risk. Shared hosting environments where InvenTree is deployed alongside other applications are also vulnerable, as a compromised InvenTree instance could potentially be used to attack other services on the same server.
• python / server:
# Check for the presence of the vulnerable code in the InvenTree codebase.
grep -r 'requests.get(url, allow_redirects=True)' /path/to/inventree/source• generic web:
# Monitor access logs for requests to internal IP addresses or unusual domains originating from authenticated InvenTree users.
grep '127.0.0.1' /var/log/apache2/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
इस भेद्यता को ठीक करने का तरीका InvenTree को संस्करण 1.2.7 या उच्चतर, या संस्करण 1.3.0 में अपडेट करना है। इन संस्करणों में डाउनलोड किए गए URL के लिए अतिरिक्त सत्यापन शामिल है, जो निजी IP पतों और आंतरिक होस्टनाम तक पहुंच को रोकता है। यदि तत्काल अपडेट संभव नहीं है, तो अपडेट लागू किए जा सकने तक INVENTREEDOWNLOADFROM_URL विकल्प को अक्षम करने की अनुशंसा की जाती है। बाहरी स्रोतों से आंतरिक संसाधनों तक पहुंच को सीमित करने के लिए नेटवर्क सुरक्षा नीतियों की समीक्षा और मजबूत करना भी महत्वपूर्ण है।
Actualice InvenTree a la versión 1.2.7 o superior para mitigar la vulnerabilidad de SSRF. La actualización corrige la falta de validación en las URLs de descarga de imágenes remotas, previniendo que usuarios autenticados puedan acceder a recursos internos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
InvenTree एक ओपन-सोर्स इन्वेंट्री प्रबंधन प्रणाली है।
यदि आप InvenTree के 1.2.7 या 1.3.0 से पहले के संस्करण का उपयोग कर रहे हैं और INVENTREEDOWNLOADFROM_URL विकल्प सक्षम है, तो आपका सिस्टम कमजोर है।
यह एक कॉन्फ़िगरेशन विकल्प है जो InvenTree को उपयोगकर्ताओं द्वारा प्रदान किए गए URL से सीधे छवियों को डाउनलोड करने की अनुमति देता है।
जब तक आप सुरक्षित संस्करण में अपडेट नहीं कर सकते, तब तक INVENTREEDOWNLOADFROM_URL विकल्प को अक्षम करें।
बाहरी स्रोतों से आंतरिक संसाधनों तक पहुंच को सीमित करने के लिए अपनी नेटवर्क सुरक्षा नीतियों की समीक्षा और मजबूत करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।