CVE-2026-39362 in InvenTree
Sumário
de VulDB • 01/06/2026
O InvenTree é um Sistema de Gestão de Inventário de Código Aberto. Antes das versões 1.2.7 e 1.3.0, quando a variável de ambiente INVENTREE_DOWNLOAD_FROM_URL está ativada (opt-in), os utilizadores autenticados podem fornecer URLs de remote_image que são buscados no lado do servidor através de requests.get() com apenas a validação de URL do Django (URLValidator). Não existe validação contra intervalos de IP privados ou nomes de host internos. As redirecionamentos são seguidos (allow_redirects=True), permitindo a contornagem de quaisquer verificações de formato de URL. Esta vulnerabilidade foi corrigida nas versões 1.2.7 e 1.3.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.