← Back
CVE-2026-46489
high
CVSS 8.1
SolidInvoice is an open-source invoicing platform. Prior to version 2.3.17, the company logo upload feature accepts any file type without validation. An authenticated administrator can upload an SVG f...
Summary
SolidInvoice is an open-source invoicing platform. Prior to version 2.3.17, the company logo upload feature accepts any file type without validation. An authenticated administrator can upload an SVG file containing embedded JavaScript. This script is base64-encoded and injected unescaped into every...
AI summary openai / gpt-4o
SolidInvoiceのバージョン2.3.17以前には、ロゴアップロード機能にファイルタイプの検証がないため、管理者が任意のSVGファイルをアップロードし、ストアドXSSを引き起こす可能性がありました。問題はバージョン2.3.17で修正されています。
❓ What is the problem
SolidInvoiceのロゴアップロード機能における入力検証の欠如によるストアドXSS脆弱性。
📍 Affected scope
SolidInvoiceのバージョン2.3.17以前。
🔥 Severity
管理者が任意にJavaScriptを含むファイルをアップロードできるため、深刻なセキュリティリスクとなります。
🔧 How to fix
バージョン2.3.17にアップデートすることで、この脆弱性が修正されます。
🛡️ Workaround
回避策はありません。ソフトウェアのアップデートを推奨します。
🔍 Detection
アップロードされたSVGファイルが埋め込まれたJavaScriptを含んでいないか確認する。