CVE-2026-34366

Name of the Vulnerable Software and Affected Versions InvoiceShelf versões anteriores a 2.2.0

Description InvoiceShelf é um aplicativo web e móvel usado para rastreamento de despesas, pagamentos e criação de faturas/orçamentos. Uma vulnerabilidade de Server-Side Request Forgery (SSRF) existe no módulo de geração de PDF de recibos de pagamento em versões anteriores a 2.2.0. HTML fornecido pelo usuário dentro do campo Notas do pagamento é passado sem sanitização para a biblioteca de renderização Dompdf, permitindo que ela busque recursos remotos referenciados na marcação. A vulnerabilidade é explorável através do endpoint de recibo de PDF, independentemente das configurações de anexo de e-mail.

Recommendations Atualize para a versão 2.2.0 ou posterior.