Platform
other
Component
invoiceshelf
Opgelost in
2.2.1
CVE-2026-34366 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in InvoiceShelf, een open-source applicatie voor het beheren van facturen en uitgaven. Deze kwetsbaarheid stelt een aanvaller in staat om via de PDF-ontvangst endpoint externe bronnen op te halen. De kwetsbaarheid treedt op in versies van InvoiceShelf tot en met 2.2.0. Een patch is beschikbaar in versie 2.2.0.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid stelt een aanvaller in staat om interne systemen te benaderen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot het blootleggen van gevoelige informatie, het uitvoeren van acties namens de applicatie, of zelfs het compromitteren van de server waarop InvoiceShelf draait. De aanvaller kan bijvoorbeeld interne API's aanroepen, toegang krijgen tot cloud resources, of gevoelige configuratiebestanden ophalen. De impact is verhoogd doordat de kwetsbaarheid direct via de PDF-ontvangst endpoint kan worden misbruikt, ongeacht of geautomatiseerde e-mailbijlagen zijn ingeschakeld.
Deze kwetsbaarheid is openbaar bekend sinds 2026-03-31. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de SSRF-natuur van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De CVSS-score van 7.6 (HIGH) duidt op een significant risico. Er zijn geen indicaties van actieve campagnes gericht op deze specifieke kwetsbaarheid, maar het is belangrijk om te beseffen dat SSRF-kwetsbaarheden vaak worden misbruikt.
Organizations and individuals using InvoiceShelf versions prior to 2.2.0, particularly those who rely on the PDF receipt generation feature for payment processing, are at risk. Shared hosting environments where multiple users share the same InvoiceShelf instance are especially vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.
• linux / server:
journalctl -u invoiceshelf | grep -i "dompdf"• generic web:
curl -I 'https://<invoiceShelf_URL>/receipt.pdf?notes=<malicious_html>' | grep 'Server:'disclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van InvoiceShelf naar versie 2.2.0 of hoger, waar de kwetsbaarheid is verholpen. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het strikt valideren en sanitiseren van alle gebruikersinvoer in het betalingsnotitiesveld. Dit kan worden bereikt door HTML-tags te verwijderen of te vervangen door veilige alternatieven. Het implementeren van een Web Application Firewall (WAF) met regels die SSRF-aanvallen detecteren en blokkeren, kan ook helpen. Controleer de toegangscontrolelijsten (ACL's) op de server om te zorgen dat er geen onnodige toegang tot interne resources is.
Werk InvoiceShelf bij naar versie 2.2.0 of hoger. Deze versie corrigeert de SSRF kwetsbaarheid door de HTML-invoer in het betalings notitieveld te sanitiseren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34366 is a Server-Side Request Forgery (SSRF) vulnerability affecting InvoiceShelf versions 2.2.0 and earlier. It allows attackers to make requests to arbitrary URLs through the application's PDF receipt generation module.
You are affected if you are using InvoiceShelf version 2.2.0 or earlier. Upgrade to version 2.2.0 to resolve the vulnerability.
Upgrade InvoiceShelf to version 2.2.0 or later. As a temporary workaround, implement a WAF rule to block suspicious HTML in the payment notes field.
No active exploitation has been confirmed at this time, but the vulnerability's ease of exploitation warrants caution.
Refer to the InvoiceShelf project's official website and GitHub repository for the latest security advisories and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.