CVE-2026-46489
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
SolidInvoice to platforma do fakturowania typu open-source. W wersjach przed 2.3.17 funkcja przesyłania logo firmy akceptowała dowolny typ pliku bez walidacji, co pozwalało na przesyłanie plików SVG z osadzonym JavaScript.
Ocena ryzyka
Zagrożenie polega na możliwości wykonania ataku typu stored cross-site scripting (XSS), który może wpłynąć na wszystkich uwierzytelnionych użytkowników aplikacji, narażając ich na kradzież danych lub inne złośliwe działania.
Rekomendacja
Zaleca się aktualizację do wersji 2.3.17 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji przesyłanych plików.
Oryginalny opis (angielski, źródło NVD)
SolidInvoice is an open-source invoicing platform. Prior to version 2.3.17, the company logo upload feature accepts any file type without validation. An authenticated administrator can upload an SVG file containing embedded JavaScript. This script is base64-encoded and injected unescaped into every page of the application, causing stored cross-site scripting (XSS) that executes in every authenticated user's browser. This issue has been patched in version 2.3.17.

