← Retour
CVE-2026-46622
high
CVSS 8.1
SolidInvoice is an open-source invoicing platform. Prior to version 2.3.17, API tokens used to authenticate all REST API requests are stored as plaintext strings in the api_tokens database table. Any...
Résumé
SolidInvoice is an open-source invoicing platform. Prior to version 2.3.17, API tokens used to authenticate all REST API requests are stored as plaintext strings in the api_tokens database table. Any attacker who obtains read access to the database — through SQL injection, a leaked backup, a misconf...
Résumé IA openai / gpt-4o
Une vulnérabilité référencée **CVE-2026-46622** a été découverte dans sqli.
Des informations confidentielles peuvent être exposées. Score CVSS : 8.1/10.
Action : appliquez le correctif officiel de l'éditeur.
En cas de doute, contactez votre service informatique ou cherchez « sqli CVE-2026-46622 » sur le site de l'éditeur.
CVE-2026-46622 (sqli) — CWE-312 / CVSS v3 8.1
Vecteur d'attaque : distant (réseau) / sans interaction utilisateur
Versions affectées : `<= 2.3.16`
Plan : 1) Audit SBOM, 2) Mise à jour staging→prod, 3) Surveillance WAF/proxy sur les endpoints affectés, 4) Recherche d'IOC dans les logs.
Réfs : voir GHSA / avis éditeur / version corrigée liés sur cette page.
❓ Quel est le problème
APIトークンがプレーンテキストで保存されていることによる認証情報漏洩の脆弱性。
📍 Périmètre concerné
SolidInvoiceのバージョン2.3.17未満。
🔥 Gravité
データベースにアクセス可能な攻撃者は、全ユーザーのAPI認証情報を簡単に取得できるため、深刻です。
🔧 Comment corriger
バージョン2.3.17にアップデートしてください。
🛡️ Contournement
情報なし
🔍 Détection
バージョン2.3.17以前を使用している場合、影響を受けます。