Platform
python
Component
inventree
Opgelost in
1.2.8
CVE-2026-39362 is a Server-Side Request Forgery (SSRF) vulnerability affecting InvenTree versions 1.2.0 through 1.2.6. This flaw allows authenticated users to trigger server-side requests to arbitrary URLs, potentially exposing internal resources or performing unauthorized actions. The vulnerability is resolved in versions 1.2.7 and 1.3.0, and users are strongly advised to upgrade immediately.
De kwetsbaarheid CVE-2026-39362 in InvenTree treft versies vóór 1.2.7 en 1.3.0 wanneer de optie INVENTREEDOWNLOADFROMURL is ingeschakeld. Het stelt geauthenticeerde gebruikers in staat om remote image URL's te verstrekken die server-side worden opgehaald via requests.get() met slechts de Django URLValidator-controle. Er is geen validatie tegen private IP-bereiken of interne hostnamen. Redirects worden gevolgd (allowredirects=True), waardoor elke URL-formatcontrole wordt omzeild. Dit kan een aanvaller ertoe aanzetten het systeem ertoe te brengen kwaadaardige inhoud te downloaden van een ongeautoriseerde interne of externe bron, waardoor de integriteit van het systeem en de vertrouwelijkheid van gegevens mogelijk in gevaar komen.
Een geauthenticeerde aanvaller binnen het InvenTree-systeem kan deze kwetsbaarheid misbruiken. Door een kwaadaardige URL te verstrekken, zal de server de inhoud van die URL downloaden, mogelijk kwaadaardige code uitvoeren of gevoelige informatie blootleggen. De mogelijkheid om redirects te volgen vergroot het risico, aangezien een aanvaller redirects kan gebruiken om de uiteindelijke bestemming van de download te verbergen. De complexiteit van de exploitatie hangt af van de kennis van de aanvaller van de systeemconfiguratie en het vermogen om URL's te manipuleren.
Organizations using InvenTree for inventory management, particularly those with the INVENTREEDOWNLOADFROM_URL setting enabled, are at risk. Shared hosting environments where InvenTree is deployed alongside other applications are also vulnerable, as a compromised InvenTree instance could potentially be used to attack other services on the same server.
• python / server:
# Check for the presence of the vulnerable code in the InvenTree codebase.
grep -r 'requests.get(url, allow_redirects=True)' /path/to/inventree/source• generic web:
# Monitor access logs for requests to internal IP addresses or unusual domains originating from authenticated InvenTree users.
grep '127.0.0.1' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
De oplossing voor deze kwetsbaarheid is om InvenTree bij te werken naar versie 1.2.7 of hoger, of naar versie 1.3.0. Deze versies bevatten aanvullende validatie voor gedownloade URL's, waardoor toegang tot private IP-adressen en interne hostnamen wordt voorkomen. Als een onmiddellijke update niet mogelijk is, wordt het aanbevolen om de optie INVENTREEDOWNLOADFROM_URL uit te schakelen totdat de update kan worden toegepast. Het is ook cruciaal om het netwerkbeveiligingsbeleid te beoordelen en te versterken om de toegang tot interne bronnen vanaf externe bronnen te beperken.
Actualice InvenTree a la versión 1.2.7 o superior para mitigar la vulnerabilidad de SSRF. La actualización corrige la falta de validación en las URLs de descarga de imágenes remotas, previniendo que usuarios autenticados puedan acceder a recursos internos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
InvenTree is een open-source voorraadbeheersysteem.
Als u een versie van InvenTree gebruikt vóór 1.2.7 of 1.3.0 en de optie INVENTREEDOWNLOADFROM_URL heeft ingeschakeld, is uw systeem kwetsbaar.
Het is een configuratieoptie die InvenTree in staat stelt om afbeeldingen rechtstreeks te downloaden vanaf URL's die door gebruikers worden verstrekt.
Schakel de optie INVENTREEDOWNLOADFROM_URL uit totdat u kunt updaten naar een veilige versie.
Beoordeel en versterk uw netwerkbeveiligingsbeleid om de toegang tot interne bronnen vanaf externe bronnen te beperken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.