Plateforme
php
Composant
inventree
Corrigé dans
1.2.8
CVE-2026-35476 describes a Privilege Escalation vulnerability discovered in InvenTree, an open-source inventory management system. This flaw allows a non-staff user, after authentication, to elevate their account privileges to a staff level, granting them broader access and control within the system. The vulnerability impacts versions 1.2.0 through 1.2.6 and is resolved in versions 1.2.7 and 1.3.0.
La vulnérabilité CVE-2026-35476 dans InvenTree permet à un utilisateur authentifié non-administrateur d'élever son compte au niveau de personnel. Ceci est dû à une configuration incorrecte des permissions d'écriture sur l'endpoint API du compte utilisateur. Un attaquant peut envoyer une requête POST à cet endpoint pour modifier son propre statut de personnel, obtenant ainsi un accès à des fonctionnalités et des données qui seraient normalement restreintes. L'impact potentiel inclut la manipulation des données d'inventaire, la création d'utilisateurs frauduleux et l'accès non autorisé à des informations sensibles. La gravité de cette vulnérabilité est évaluée à 7.2 selon le CVSS.
Cette vulnérabilité est exploitable par tout utilisateur authentifié dans InvenTree qui ne dispose pas de privilèges de personnel. Elle ne nécessite pas de compétences techniques avancées, car elle peut être exploitée avec une simple requête POST. La facilité d'exploitation et l'impact potentiel sur l'intégrité et la confidentialité des données d'inventaire en font une préoccupation importante. Des tests d'intrusion sont recommandés pour identifier et atténuer tout risque potentiel.
Organizations using InvenTree for inventory management, particularly those with multiple users and varying permission levels, are at risk. Environments with weak password policies or shared user accounts are especially vulnerable. Users relying on InvenTree's access controls for sensitive inventory data are also at increased risk.
• php: Examine InvenTree's API endpoint logs for suspicious POST requests targeting user account modification. Look for requests originating from non-staff users attempting to change their 'staff' status.
grep 'user_id=[0-9]+&staff=true' /path/to/invenTree/api.log• generic web: Monitor access logs for unusual activity related to user account management endpoints.
curl -I http://your-invenTree-instance/api/users/{user_id}/ | grep -i staffdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La correction de cette vulnérabilité consiste à mettre à jour InvenTree vers la version 1.2.7 ou supérieure, ou vers la version 1.3.0. Ces versions incluent une correction qui restreint correctement les permissions d'écriture sur l'endpoint API du compte utilisateur, empêchant ainsi l'escalade de privilèges. Si une mise à jour immédiate n'est pas possible, envisagez de mettre en œuvre des mesures de sécurité supplémentaires telles que des revues régulières des comptes utilisateurs et des limitations d'accès à l'API. Surveiller les journaux du système à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles.
Actualice InvenTree a la versión 1.2.7 o superior para corregir la vulnerabilidad de escalada de privilegios. La actualización corrige la configuración incorrecta de los permisos de escritura en el API, evitando que usuarios no autorizados cambien su estado de personal.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un identifiant unique pour cette vulnérabilité spécifique dans InvenTree. Il permet aux chercheurs et aux administrateurs système de suivre et de gérer la correction de la vulnérabilité.
Mettez en œuvre des mesures de sécurité supplémentaires, telles que des revues de comptes utilisateurs et des limitations d'accès à l'API. Surveillez les journaux du système à la recherche d'activités suspectes.
Vérifiez la version d'InvenTree que vous utilisez. Si elle est antérieure à 1.2.7 ou 1.3.0, elle est vulnérable.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité. Le meilleur moyen est de vérifier la version d'InvenTree.
Toutes les données stockées dans InvenTree, y compris les descriptions de produits, les quantités, les emplacements, les coûts et les fournisseurs, pourraient être compromises si un attaquant obtient des privilèges de personnel.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.