← Back
CVE-2026-46622
high
CVSS 8.1
SolidInvoice is an open-source invoicing platform. Prior to version 2.3.17, API tokens used to authenticate all REST API requests are stored as plaintext strings in the api_tokens database table. Any...
Summary
SolidInvoice is an open-source invoicing platform. Prior to version 2.3.17, API tokens used to authenticate all REST API requests are stored as plaintext strings in the api_tokens database table. Any attacker who obtains read access to the database — through SQL injection, a leaked backup, a misconf...
AI summary openai / gpt-4o
SolidInvoiceはオープンソースの請求プラットフォームです。バージョン2.3.17以前では、REST APIリクエストを認証するために使用されるAPIトークンが、データベース内でプレーンテキストの文字列として保存されています。これにより、SQLインジェクションやレプリカの誤設定などでデータベースにアクセスできる攻撃者は、即座に全ユーザーのAPI認証情報を取得できるリスクがあります。この問題はバージョン2.3.17で修正されています。
❓ What is the problem
APIトークンがプレーンテキストで保存されていることによる認証情報漏洩の脆弱性。
📍 Affected scope
SolidInvoiceのバージョン2.3.17未満。
🔥 Severity
データベースにアクセス可能な攻撃者は、全ユーザーのAPI認証情報を簡単に取得できるため、深刻です。
🔧 How to fix
バージョン2.3.17にアップデートしてください。
🛡️ Workaround
情報なし
🔍 Detection
バージョン2.3.17以前を使用している場合、影響を受けます。