プラットフォーム
python
コンポーネント
inventree
修正版
1.2.8
InvenTreeはオープンソースの在庫管理システムです。バージョン1.2.0から1.2.6までのInvenTreeにおいて、INVENTREEDOWNLOADFROM_URLオプションが有効になっている場合、認証されたユーザーはサーバー側でrequests.get()を使用してリモート画像のURLを取得できますが、URLの形式チェックのみが行われ、内部IPアドレスやホスト名に対する検証が不足しています。これにより、SSRF攻撃のリスクが生じます。この脆弱性はバージョン1.2.7および1.3.0で修正されています。
InvenTreeのCVE-2026-39362脆弱性は、INVENTREEDOWNLOADFROMURLオプションが有効になっている1.2.7以前および1.3.0以前のバージョンに影響します。認証されたユーザーが、DjangoのURLValidatorチェックのみを使用してサーバー側でrequests.get()経由で取得されるリモートイメージURLを提供することを可能にします。プライベートIP範囲または内部ホスト名に対する検証は行われていません。リダイレクトが追跡されます(allowredirects=True)、これにより、URL形式のチェックを回避できます。これにより、攻撃者がシステムに不正な内部または外部ソースから悪意のあるコンテンツをダウンロードするように指示する可能性があります。その結果、システムの整合性とデータの機密性が損なわれる可能性があります。
InvenTreeシステムの内部にいる認証された攻撃者は、この脆弱性を悪用できます。悪意のあるURLを提供することで、サーバーはそのURLのコンテンツをダウンロードし、悪意のあるコードを実行したり、機密情報を公開したりする可能性があります。リダイレクトを追跡する機能はリスクを増大させます。攻撃者はリダイレクトを使用して、ダウンロードの最終的な宛先を隠すことができるためです。悪用の複雑さは、攻撃者がシステムの構成をどの程度知っており、URLを操作する能力に依存します。
Organizations using InvenTree for inventory management, particularly those with the INVENTREEDOWNLOADFROM_URL setting enabled, are at risk. Shared hosting environments where InvenTree is deployed alongside other applications are also vulnerable, as a compromised InvenTree instance could potentially be used to attack other services on the same server.
• python / server:
# Check for the presence of the vulnerable code in the InvenTree codebase.
grep -r 'requests.get(url, allow_redirects=True)' /path/to/inventree/source• generic web:
# Monitor access logs for requests to internal IP addresses or unusual domains originating from authenticated InvenTree users.
grep '127.0.0.1' /var/log/apache2/access.logdisclosure
エクスプロイト状況
EPSS
0.04% (13% パーセンタイル)
CISA SSVC
この脆弱性の修正は、InvenTreeをバージョン1.2.7以降、またはバージョン1.3.0に更新することです。これらのバージョンには、ダウンロードされたURLに対する追加の検証が含まれており、プライベートIPアドレスと内部ホスト名へのアクセスを防ぎます。即時の更新が不可能な場合は、更新を適用できるまでINVENTREEDOWNLOADFROM_URLオプションを無効にすることをお勧めします。外部ソースからの内部リソースへのアクセスを制限するために、ネットワークセキュリティポリシーをレビューおよび強化することも重要です。
Actualice InvenTree a la versión 1.2.7 o superior para mitigar la vulnerabilidad de SSRF. La actualización corrige la falta de validación en las URLs de descarga de imágenes remotas, previniendo que usuarios autenticados puedan acceder a recursos internos.
脆弱性分析と重要アラートをメールでお届けします。
InvenTreeは、オープンソースの在庫管理システムです。
InvenTreeのバージョンが1.2.7または1.3.0より前で、INVENTREEDOWNLOADFROM_URLオプションが有効になっている場合は、脆弱です。
これは、InvenTreeがユーザーが提供するURLから直接画像をダウンロードできるようにする構成オプションです。
安全なバージョンに更新できるまで、INVENTREEDOWNLOADFROM_URLオプションを無効にします。
外部ソースからの内部リソースへのアクセスを制限するために、ネットワークセキュリティポリシーをレビューおよび強化してください。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。