CVE-2026-39362 in InvenTree
Сводка
по VulDB • 10.06.2026
InvenTree — это система управления запасами с открытым исходным кодом. В версиях до 1.2.7 и 1.3.0, при включенной опции INVENTREE_DOWNLOAD_FROM_URL (opt-in), аутентифицированные пользователи могут указывать URL-адреса remote_image, которые загружаются на стороне сервера с помощью функции requests.get() с применением только проверки Django URLValidator. При этом отсутствует проверка на принадлежность к частным диапазонам IP-адресов или внутренним именам хостов. Следуют перенаправлениям (allow_redirects=True), что позволяет обойти любые проверки формата URL. Данная уязвимость исправлена в версиях 1.2.7 и 1.3.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.