← 戻る
Webアプリケーション
CVE-2026-46489 high CVSS 8.1

SolidInvoice is an open-source invoicing platform. Prior to version 2.3.17, the company logo upload feature accepts any file type without validation. An authenticated administrator can upload an SVG f...

概要

SolidInvoice is an open-source invoicing platform. Prior to version 2.3.17, the company logo upload feature accepts any file type without validation. An authenticated administrator can upload an SVG file containing embedded JavaScript. This script is base64-encoded and injected unescaped into every...

AI要約 openai / gpt-4o

SolidInvoiceのバージョン2.3.17以前には、ロゴアップロード機能にファイルタイプの検証がないため、管理者が任意のSVGファイルをアップロードし、ストアドXSSを引き起こす可能性がありました。問題はバージョン2.3.17で修正されています。
❓ 何が問題か
SolidInvoiceのロゴアップロード機能における入力検証の欠如によるストアドXSS脆弱性。
📍 影響範囲
SolidInvoiceのバージョン2.3.17以前。
🔥 重要度
管理者が任意にJavaScriptを含むファイルをアップロードできるため、深刻なセキュリティリスクとなります。
🔧 修正方法
バージョン2.3.17にアップデートすることで、この脆弱性が修正されます。
🛡️ 暫定回避
回避策はありません。ソフトウェアのアップデートを推奨します。
🔍 検知方法
アップロードされたSVGファイルが埋め込まれたJavaScriptを含んでいないか確認する。

参照URL

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →