Katalog CVE

CVE-2026-46489

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 9 - wyżej niż 9% wszystkich znanych CVE

Streszczenie

SolidInvoice to platforma do fakturowania typu open-source. W wersjach przed 2.3.17 funkcja przesyłania logo firmy akceptowała dowolny typ pliku bez walidacji, co pozwalało na przesyłanie plików SVG z osadzonym JavaScript.

Ocena ryzyka

Zagrożenie polega na możliwości wykonania ataku typu stored cross-site scripting (XSS), który może wpłynąć na wszystkich uwierzytelnionych użytkowników aplikacji, narażając ich na kradzież danych lub inne złośliwe działania.

Rekomendacja

Zaleca się aktualizację do wersji 2.3.17 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji przesyłanych plików.

Oryginalny opis (angielski, źródło NVD)

SolidInvoice is an open-source invoicing platform. Prior to version 2.3.17, the company logo upload feature accepts any file type without validation. An authenticated administrator can upload an SVG file containing embedded JavaScript. This script is base64-encoded and injected unescaped into every page of the application, causing stored cross-site scripting (XSS) that executes in every authenticated user's browser. This issue has been patched in version 2.3.17.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS