← Retour
Web Application
CVE-2026-46489 high CVSS 8.1

SolidInvoice is an open-source invoicing platform. Prior to version 2.3.17, the company logo upload feature accepts any file type without validation. An authenticated administrator can upload an SVG f...

Résumé

SolidInvoice is an open-source invoicing platform. Prior to version 2.3.17, the company logo upload feature accepts any file type without validation. An authenticated administrator can upload an SVG file containing embedded JavaScript. This script is base64-encoded and injected unescaped into every...

Résumé IA openai / gpt-4o

Une vulnérabilité référencée **CVE-2026-46489** a été découverte dans CVE-2026-46489. Des informations confidentielles peuvent être exposées. Score CVSS : 8.1/10. Action : appliquez le correctif officiel de l'éditeur. En cas de doute, contactez votre service informatique ou cherchez « CVE-2026-46489 CVE-2026-46489 » sur le site de l'éditeur.
CVE-2026-46489 (CVE-2026-46489) — CWE-79 / CVSS v3 8.1 Vecteur d'attaque : distant (réseau) Versions affectées : `<= 2.3.16` Plan : 1) Audit SBOM, 2) Mise à jour staging→prod, 3) Surveillance WAF/proxy sur les endpoints affectés, 4) Recherche d'IOC dans les logs. Réfs : voir GHSA / avis éditeur / version corrigée liés sur cette page.
❓ Quel est le problème
SolidInvoiceのロゴアップロード機能における入力検証の欠如によるストアドXSS脆弱性。
📍 Périmètre concerné
SolidInvoiceのバージョン2.3.17以前。
🔥 Gravité
管理者が任意にJavaScriptを含むファイルをアップロードできるため、深刻なセキュリティリスクとなります。
🔧 Comment corriger
バージョン2.3.17にアップデートすることで、この脆弱性が修正されます。
🛡️ Contournement
回避策はありません。ソフトウェアのアップデートを推奨します。
🔍 Détection
アップロードされたSVGファイルが埋め込まれたJavaScriptを含んでいないか確認する。

Références

🍪 À propos des cookies

Nous utilisons des cookies pour conserver votre session, mémoriser la langue et améliorer le service.

En savoir plus →