プラットフォーム
other
コンポーネント
invoiceshelf
修正版
2.2.1
InvoiceShelfは、経費、支払い、請求書、見積もりを管理するオープンソースのWebおよびモバイルアプリケーションです。バージョン2.2.0以前のInvoiceShelfには、請求書のPDF生成モジュールにおいて、Server-Side Request Forgery (SSRF) 脆弱性が存在します。この脆弱性は、PDFプレビューやメール配信エンドポイントを通じて悪用される可能性があります。バージョン2.2.0でこの問題は修正されています。
このSSRF脆弱性を悪用されると、攻撃者はInvoiceShelfサーバーを通じて任意の外部リソースにアクセスできます。攻撃者は、内部ネットワーク上の機密情報へのアクセスを試みたり、他のシステムへの攻撃の踏み台としてInvoiceShelfサーバーを利用したりする可能性があります。また、攻撃者は、サーバーがアクセスできるリソースにDoS攻撃を仕掛けることも可能です。この脆弱性は、InvoiceShelfのPDF生成機能を使用するすべてのユーザーに影響を与える可能性があります。
この脆弱性は、2026年3月31日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、SSRF脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISA KEVへの登録状況は不明です。パブリックなPoCは確認されていません。
Organizations using InvoiceShelf for expense and invoice management, particularly those with legacy configurations or shared hosting environments, are at risk. Users who rely on the PDF generation functionality and have not implemented input validation measures are especially vulnerable.
• linux / server:
journalctl -u invoiceshelf | grep -i "dompdf" -i "remote resource"• generic web:
curl -I 'https://<invoiceshelf_url>/pdf/preview?invoice_id=<invoice_id>¬es=<malicious_html>' | grep 'Location:'disclosure
エクスプロイト状況
EPSS
0.03% (10% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、まずInvoiceShelfをバージョン2.2.0にアップデートすることを推奨します。アップデートが困難な場合は、WAF(Web Application Firewall)を導入し、SSRF攻撃を検知・防御するルールを設定してください。また、InvoiceShelfのPDF生成機能を使用する際に、ユーザーからの入力を厳密に検証し、HTMLタグを適切にサニタイズすることで、攻撃のリスクを軽減できます。アップデート後、PDF生成機能が正常に動作することを確認してください。
InvoiceShelfをバージョン2.2.0以降にアップデートしてください。このバージョンでは、請求書のメモフィールドのHTML入力をサニタイズすることでSSRFの脆弱性を修正しています。これにより、Dompdfライブラリが不要なリモートリソースを取得することを防ぎます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-34367は、InvoiceShelfのバージョン2.2.0以前に存在するSSRF脆弱性です。PDF生成モジュールにおけるHTMLの不適切な処理が原因で、リモートリソースへのアクセスが可能になります。
はい、InvoiceShelfのバージョン2.2.0以前を使用している場合は、この脆弱性によって攻撃者がサーバーを通じて任意の外部リソースにアクセスされるリスクがあります。
InvoiceShelfをバージョン2.2.0にアップデートすることを推奨します。アップデートが困難な場合は、WAFを導入するなど、他の対策を検討してください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、SSRF脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。
InvoiceShelfの公式アドバイザリは、今後のリリース情報をご確認ください。現時点では、公式アドバイザリは公開されていません。
CVSS ベクトル