发布日期：2026-01-07
更新日期：2026-03-19

受影响系统：

Invoice Ninja Invoice Ninja <= 5.12.38

描述：

---

CVE(CAN) ID: CVE-2026-0649

Invoice Ninja是美国Invoice Ninja公司的一个免费发票软件。
Invoice Ninja 5.12.38及之前版本存在服务器端请求伪造漏洞，该漏洞源于对组件Migration Import的文件/app/Jobs/Util/Import.php中参数company_logo的错误操作，攻击者利用该漏洞导致服务端请求伪造。

<**>

建议：

---

厂商补丁：

Invoice Ninja
-------------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：

https://invoiceninja.com/

浏览次数：70
严重程度：0（网友投票）