CVE-2024-47610 in InvenTree
الملخص
بحسب VulDB • 21/06/2026
InvenTree هو نظام إدارة مخزون مفتوح المصدر. في الإصدارات المتأثرة من InvenTree، يمكن لمستخدم مسجل تخزين نصوص برمجية JavaScript في حقول ملاحظات Markdown، والتي يتم عرضها بعد ذلك للمستخدمين الآخرين المسجلين الدخول الذين يزورون نفس الصفحة ويتم تنفيذها. تم معالجة الثغرة الأمنية على النحو التالي: 1. تم تفعيل تنقية HTML (HTML sanitization) في مكتبة العرض الأمامي لـ markdown - `easymde`. 2. يتم أيضًا التحقق من صحة نصوص Markdown المخزنة على الخادم الخلفي، لضمان عدم تخزين نصوص Markdown الضارة في قاعدة البيانات. هذه التغييرات متوفرة في إصدارات الإصدار 0.16.5 وما بعده. يُنصح جميع المستخدمين بالترقية إلى أحدث إصدار. لا توجد حلول بديلة (workarounds)، حيث يلزم إجراء تحديث للحصول على وظائف التحقق الجديدة من الصحة.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.