Platform
other
Component
invoiceshelf
Opgelost in
2.2.1
CVE-2026-34367 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in InvoiceShelf, een open-source applicatie voor het beheren van facturen en uitgaven. Deze kwetsbaarheid stelt een aanvaller in staat om verzoeken te initiëren vanaf de server, waardoor potentieel gevoelige informatie kan worden blootgesteld of interne systemen kunnen worden benaderd. De kwetsbaarheid is aanwezig in versies van InvoiceShelf tot en met 2.2.0 en is verholpen in versie 2.2.0.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan interne systemen benaderen die normaal gesproken niet toegankelijk zijn vanaf het internet, gevoelige data ophalen, of zelfs kwaadaardige code uitvoeren via het ophalen van schadelijke bronnen. De impact kan variëren afhankelijk van de configuratie van de InvoiceShelf-omgeving en de interne netwerkstructuur. Het misbruik van deze kwetsbaarheid kan leiden tot datalekken, compromittering van systemen en verstoring van de bedrijfsvoering. Het potentieel voor laterale beweging is aanwezig, aangezien een aanvaller interne bronnen kan benaderen via de gecompromitteerde InvoiceShelf-instantie.
Op het moment van publicatie is er geen melding van actieve exploitatie van CVE-2026-34367. Er zijn geen publieke proof-of-concept exploits beschikbaar. De kwetsbaarheid is opgenomen in de CISA KEV catalogus, wat duidt op een potentieel risico. De ernst van de kwetsbaarheid (CVSS 7.6 HIGH) en de mogelijkheid voor misbruik vereisen aandacht en snelle mitigatie.
Organizations using InvoiceShelf for expense and invoice management, particularly those with legacy configurations or shared hosting environments, are at risk. Users who rely on the PDF generation functionality and have not implemented input validation measures are especially vulnerable.
• linux / server:
journalctl -u invoiceshelf | grep -i "dompdf" -i "remote resource"• generic web:
curl -I 'https://<invoiceshelf_url>/pdf/preview?invoice_id=<invoice_id>¬es=<malicious_html>' | grep 'Location:'disclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-34367 is het upgraden van InvoiceShelf naar versie 2.2.0 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) die verzoeken naar externe bronnen blokkeert. Daarnaast kan het beperken van de toegang tot de PDF-voorvertoning en e-mail delivery endpoints de aanvalsoppervlakte verkleinen. Controleer de InvoiceShelf-configuratie op onnodige toegang tot interne netwerkbronnen en implementeer strikte toegangscontroles. Na de upgrade, controleer de PDF-generatie functionaliteit om te bevestigen dat er geen ongeautoriseerde verzoeken worden gedaan.
Werk InvoiceShelf bij naar versie 2.2.0 of hoger. Deze versie corrigeert de SSRF kwetsbaarheid door de HTML-invoer in het factuur notitieveld te sanitiseren. Dit voorkomt dat de Dompdf library ongewenste externe resources ophaalt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34367 is a Server-Side Request Forgery vulnerability in InvoiceShelf versions prior to 2.2.0, allowing attackers to trigger requests to arbitrary remote resources via unsanitized HTML in invoice notes.
You are affected if you are using InvoiceShelf version 2.2.0 or earlier. Upgrade to 2.2.0 to resolve the vulnerability.
Upgrade InvoiceShelf to version 2.2.0 or later. As a temporary workaround, implement a WAF rule to filter malicious HTML in invoice notes.
There is currently no indication of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the InvoiceShelf project's official website and GitHub repository for updates and advisories related to CVE-2026-34367.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.