CVE-2026-39362 in InvenTree
요약
\~에 의해 VulDB • 2026. 07. 18.
InvenTree는 오픈 소스 재고 관리 시스템입니다. 버전 1.2.7 및 1.3.0 이전에서 INVENTREE_DOWNLOAD_FROM_URL 옵션이 활성화된 경우, 인증된 사용자가 서버 측에서 requests.get()을 통해 가져오는 remote_image URL에 Django의 URLValidator 검사만 적용되도록 제공할 수 있습니다. 사설 IP 범위나 내부 호스트명에 대한 검증은 이루어지지 않습니다. 리디렉션이 허용(allow_redirects=True)되어 있어 URL 형식 검사를 우회할 수 있습니다. 이 취약점은 버전 1.2.7 및 1.3.0에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.