InvenTree 存在 SSRF 问题，源于远程图片下载 — 对 remote_image URL 缺乏 IP/主机名验证

InvenTree 中的 CVE-2026-39362 漏洞影响 1.2.7 之前的版本和 1.3.0 版本，当启用 INVENTREEDOWNLOADFROMURL 选项时。它允许经过身份验证的用户提供远程图像 URL，这些 URL 将通过 requests.get() 在服务器端使用 Django 的 URLValidator 检查进行获取。没有对私有 IP 范围或内部主机名的验证。会跟踪重定向（allowredirects=True），从而绕过任何 URL 格式检查。这可能允许攻击者指示系统从未经授权的内部或外部来源下载恶意内容，从而可能损害系统完整性和数据机密性。

Organizations using InvenTree for inventory management, particularly those with the INVENTREEDOWNLOADFROM_URL setting enabled, are at risk. Shared hosting environments where InvenTree is deployed alongside other applications are also vulnerable, as a compromised InvenTree instance could potentially be used to attack other services on the same server.

• python / server:

# Check for the presence of the vulnerable code in the InvenTree codebase.
grep -r 'requests.get(url, allow_redirects=True)' /path/to/inventree/source

• generic web:

# Monitor access logs for requests to internal IP addresses or unusual domains originating from authenticated InvenTree users.
grep '127.0.0.1' /var/log/apache2/access.log

1. 2026-04-08Disclosure

   disclosure

1. 已保留2026-04-06
2. 发布日期2026-04-08
3. 修改日期2026-04-10
4. EPSS 更新日期2026-04-16

此漏洞的修复方法是将 InvenTree 更新到 1.2.7 或更高版本，或 1.3.0 版本。这些版本包含对下载的 URL 的额外验证，可防止访问私有 IP 地址和内部主机名。如果无法立即更新，建议禁用 INVENTREEDOWNLOADFROM_URL 选项，直到可以应用更新。此外，审查并加强网络安全策略，以限制从外部来源访问内部资源也很重要。