CVE-2026-39362 in InvenTreeinformação

Sumário

de VulDB • 01/06/2026

O InvenTree é um Sistema de Gestão de Inventário de Código Aberto. Antes das versões 1.2.7 e 1.3.0, quando a variável de ambiente INVENTREE_DOWNLOAD_FROM_URL está ativada (opt-in), os utilizadores autenticados podem fornecer URLs de remote_image que são buscados no lado do servidor através de requests.get() com apenas a validação de URL do Django (URLValidator). Não existe validação contra intervalos de IP privados ou nomes de host internos. As redirecionamentos são seguidos (allow_redirects=True), permitindo a contornagem de quaisquer verificações de formato de URL. Esta vulnerabilidade foi corrigida nas versões 1.2.7 e 1.3.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Divulgação

09/04/2026

Moderação

aceite

Entrada

VDB-356037

CPE

pronto

EPSS

0.00233

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!