प्लेटफ़ॉर्म
php
घटक
inventree
में ठीक किया गया
1.2.8
CVE-2026-35479 is a vulnerability in InvenTree, an open-source inventory management system. It allows users with staff access permissions to install plugins via the API, bypassing the usual superuser requirement. This misconfiguration could lead to the installation of malicious plugins, potentially compromising the system's integrity and data. The vulnerability impacts versions 1.2.0 through 1.2.6 and is resolved in versions 1.2.7 and 1.3.0.
CVE-2026-35479 InvenTree को प्रभावित करता है, जो एक ओपन-सोर्स इन्वेंट्री प्रबंधन प्रणाली है। 1.2.7 और 1.3.0 संस्करणों से पहले, कर्मचारी पहुंच अनुमतियों वाले कोई भी उपयोगकर्ता 'सुपरयूजर' खाते की पहुंच की आवश्यकता के बिना API के माध्यम से प्लगइन्स स्थापित कर सकता था। इस अनुमति स्तर की आवश्यकता अन्य प्लगइन क्रियाओं (जैसे अनइंस्टॉल) के साथ संरेखित नहीं है, जिनके लिए सुपरयूजर पहुंच की आवश्यकता होती है। यह भेद्यता कर्मचारियों को (जिन्हें सुपरयूजर खाते की तुलना में कम विश्वसनीय माना जा सकता है) मनमाना और संभावित रूप से दुर्भावनापूर्ण प्लगइन्स स्थापित करने की अनुमति देती है। इससे इन्वेंट्री प्रणाली की अखंडता और सुरक्षा से समझौता हो सकता है, जिससे अनधिकृत कोड निष्पादन और संवेदनशील डेटा तक पहुंच हो सकती है।
InvenTree में कर्मचारी खाते तक पहुंच रखने वाला एक हमलावर इस भेद्यता का फायदा उठाकर दुर्भावनापूर्ण प्लगइन्स स्थापित कर सकता है। इन प्लगइन्स को डेटा चुराने, डेटाबेस को संशोधित करने या सिस्टम को नियंत्रित करने के लिए डिज़ाइन किया जा सकता है। सुपरयूजर विशेषाधिकारों की आवश्यकता के बिना कर्मचारी उपयोगकर्ता प्लगइन्स स्थापित करने में आसानी से शोषण का जोखिम बढ़ जाता है। प्लगइन स्थापना के लिए उचित अनुमति सत्यापन की कमी से हमलावरों को मानक सुरक्षा उपायों को दरकिनार करने की अनुमति मिलती है। इस भेद्यता का सफल शोषण इन्वेंट्री डेटा की अखंडता और गोपनीयता के लिए गंभीर परिणाम हो सकते हैं।
Organizations using InvenTree for inventory management, particularly those with multiple staff users granted access to the system. Smaller businesses or those with less stringent security practices are at higher risk, as they may be less likely to have implemented robust access controls or to regularly update their software. Shared hosting environments where multiple InvenTree instances are running on the same server are also at increased risk, as a compromise of one instance could potentially affect others.
• php: Examine InvenTree's API logs for plugin installation requests originating from users without superuser privileges. Look for POST requests to the plugin installation endpoint with unusual or suspicious plugin metadata.
grep 'plugin_install' /var/log/apache2/access.log | grep 'staff_user'• generic web: Monitor InvenTree's access logs for attempts to access plugin installation endpoints. Look for unusual user agents or IP addresses.
curl -I <invenTree_url>/api/plugins/install• generic web: Check for the presence of newly installed plugins that were not authorized by the system administrator. Review the plugin list within the InvenTree admin interface.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-35479 को कम करने का समाधान InvenTree को संस्करण 1.2.7 या उच्चतर, या संस्करण 1.3.0 या उच्चतर में अपडेट करना है। ये संस्करण प्लगइन स्थापना के लिए सुपरयूजर विशेषाधिकारों की आवश्यकता के माध्यम से भेद्यता को ठीक करते हैं, इस प्रक्रिया को अन्य प्लगइन प्रबंधन कार्यों के साथ संरेखित करते हैं। संभावित हमलों से अपनी InvenTree प्रणाली की रक्षा के लिए इस अपडेट को जल्द से जल्द लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, सिस्टम के भीतर महत्वपूर्ण कार्यों तक पहुंच वाले केवल अधिकृत उपयोगकर्ताओं को सुनिश्चित करने के लिए उपयोगकर्ता अनुमति कॉन्फ़िगरेशन की समीक्षा करें। प्लगइन स्थापना से संबंधित किसी भी संदिग्ध गतिविधि का पता लगाने के लिए सिस्टम लॉग की निगरानी करें।
Actualice InvenTree a la versión 1.2.7 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de permisos adecuada para la instalación de plugins a través de la API, requiriendo ahora privilegios de superusuario.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
InvenTree एक ओपन-सोर्स इन्वेंट्री प्रबंधन प्रणाली है जो व्यवसायों को उनके परिसंपत्तियों को ट्रैक और प्रबंधित करने में मदद करने के लिए डिज़ाइन की गई है।
अपडेट CVE-2026-35479 भेद्यता को ठीक करता है, जो कर्मचारियों को सुपरयूजर विशेषाधिकारों के बिना प्लगइन्स स्थापित करने की अनुमति देता है, जिससे सिस्टम सुरक्षा से समझौता हो सकता है।
दुर्भावनापूर्ण प्लगइन्स डेटा चुरा सकते हैं, डेटाबेस को संशोधित कर सकते हैं या सिस्टम को नियंत्रित कर सकते हैं।
उपयोगकर्ता अनुमतियों की समीक्षा करें और किसी भी संदिग्ध गतिविधि का पता लगाने के लिए सिस्टम लॉग की निगरानी करें।
आप InvenTree की आधिकारिक वेबसाइट पर InvenTree के बारे में अधिक जानकारी पा सकते हैं: [https://www.inventree.org/](https://www.inventree.org/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।