Plattform
php
Komponente
inventree
Behoben in
1.2.8
CVE-2026-35479 is a vulnerability in InvenTree, an open-source inventory management system. It allows users with staff access permissions to install plugins via the API, bypassing the usual superuser requirement. This misconfiguration could lead to the installation of malicious plugins, potentially compromising the system's integrity and data. The vulnerability impacts versions 1.2.0 through 1.2.6 and is resolved in versions 1.2.7 and 1.3.0.
CVE-2026-35479 betrifft InvenTree, ein Open-Source-Bestandsverwaltungssystem. Vor den Versionen 1.2.7 und 1.3.0 konnten Benutzer mit Personalzugriffsberechtigungen Plugins über die API installieren, ohne einen 'Superuser'-Kontozugriff zu benötigen. Dieses Berechtigungsniveau steht im Widerspruch zu anderen Plugin-Aktionen (wie z. B. der Deinstallation), die einen Superuser-Zugriff erfordern. Die Schwachstelle ermöglicht es Personalbenutzern (die als weniger vertrauenswürdig als ein Superuser-Konto angesehen werden könnten), beliebige und potenziell schädliche Plugins zu installieren. Dies könnte die Integrität und Sicherheit des Bestandsverwaltungssystems gefährden und die Ausführung nicht autorisierten Codes sowie den Zugriff auf sensible Daten ermöglichen.
Ein Angreifer mit Zugriff auf ein Personal-Konto in InvenTree könnte diese Schwachstelle ausnutzen, um schädliche Plugins zu installieren. Diese Plugins könnten entwickelt worden sein, um Daten zu stehlen, die Datenbank zu ändern oder sogar die Kontrolle über das System zu übernehmen. Die einfache Möglichkeit, mit der ein Personalbenutzer Plugins installieren kann, ohne Superuser-Berechtigungen zu benötigen, erhöht das Risiko einer Ausnutzung. Das Fehlen einer ordnungsgemäßen Berechtigungsvalidierung für die Plugin-Installation ermöglicht es Angreifern, Standard-Sicherheitsvorkehrungen zu umgehen. Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte schwerwiegende Folgen für die Integrität und Vertraulichkeit der Bestandsdaten haben.
Organizations using InvenTree for inventory management, particularly those with multiple staff users granted access to the system. Smaller businesses or those with less stringent security practices are at higher risk, as they may be less likely to have implemented robust access controls or to regularly update their software. Shared hosting environments where multiple InvenTree instances are running on the same server are also at increased risk, as a compromise of one instance could potentially affect others.
• php: Examine InvenTree's API logs for plugin installation requests originating from users without superuser privileges. Look for POST requests to the plugin installation endpoint with unusual or suspicious plugin metadata.
grep 'plugin_install' /var/log/apache2/access.log | grep 'staff_user'• generic web: Monitor InvenTree's access logs for attempts to access plugin installation endpoints. Look for unusual user agents or IP addresses.
curl -I <invenTree_url>/api/plugins/install• generic web: Check for the presence of newly installed plugins that were not authorized by the system administrator. Review the plugin list within the InvenTree admin interface.
disclosure
Exploit-Status
EPSS
0.03% (10% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung zur Minderung von CVE-2026-35479 besteht darin, InvenTree auf Version 1.2.7 oder höher oder auf Version 1.3.0 oder höher zu aktualisieren. Diese Versionen beheben die Schwachstelle, indem sie Superuser-Berechtigungen für die Plugin-Installation erfordern und so diesen Prozess mit anderen Plugin-Management-Aktionen in Einklang bringen. Es wird empfohlen, dieses Update so schnell wie möglich anzuwenden, um Ihr InvenTree-System vor potenziellen Angriffen zu schützen. Überprüfen Sie außerdem die Benutzerberechtigungskonfigurationen, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf kritische Systemfunktionen haben. Überwachen Sie die Systemprotokolle auf verdächtige Aktivitäten im Zusammenhang mit der Plugin-Installation.
Actualice InvenTree a la versión 1.2.7 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de permisos adecuada para la instalación de plugins a través de la API, requiriendo ahora privilegios de superusuario.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
InvenTree ist ein Open-Source-Bestandsverwaltungssystem, das Unternehmen dabei helfen soll, ihre Vermögenswerte zu verfolgen und zu verwalten.
Das Update behebt die CVE-2026-35479-Schwachstelle, die es Personalbenutzern ermöglicht, Plugins ohne Superuser-Berechtigungen zu installieren, was die Systemsicherheit gefährden könnte.
Schädliche Plugins könnten Daten stehlen, die Datenbank ändern oder sogar die Kontrolle über das System übernehmen.
Überprüfen Sie die Benutzerberechtigungen und überwachen Sie die Systemprotokolle auf verdächtige Aktivitäten.
Sie finden weitere Informationen über InvenTree auf der offiziellen Website: [https://www.inventree.org/](https://www.inventree.org/)
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.