CVE-2026-39362 in InvenTreeИнформация

Сводка

по VulDB • 10.06.2026

InvenTree — это система управления запасами с открытым исходным кодом. В версиях до 1.2.7 и 1.3.0, при включенной опции INVENTREE_DOWNLOAD_FROM_URL (opt-in), аутентифицированные пользователи могут указывать URL-адреса remote_image, которые загружаются на стороне сервера с помощью функции requests.get() с применением только проверки Django URLValidator. При этом отсутствует проверка на принадлежность к частным диапазонам IP-адресов или внутренним именам хостов. Следуют перенаправлениям (allow_redirects=True), что позволяет обойти любые проверки формата URL. Данная уязвимость исправлена в версиях 1.2.7 и 1.3.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Раскрытие

09.04.2026

Модерация

принято

Вход

VDB-356037

EPSS

0.00233

KEV

Нет

Деятельности

Очень низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!