CVE-2026-35476 describes a Privilege Escalation vulnerability discovered in InvenTree, an open-source inventory management system. This flaw allows a non-staff user, after authentication, to elevate their account privileges to a staff level, granting them broader access and control within the system. The vulnerability impacts versions 1.2.0 through 1.2.6 and is resolved in versions 1.2.7 and 1.3.0.
InvenTreeのCVE-2026-35476脆弱性は、スタッフ権限を持たない認証済みユーザーが、自身のユーザーアカウントAPIエンドポイントに対するPOSTリクエストを送信することで、スタッフレベルにアカウントを昇格させられることを可能にします。これは、ユーザーアカウントAPIエンドポイントの書き込み権限が不適切に構成されているために発生します。攻撃者は、このエンドポイントにPOSTリクエストを送信して、自身のスタッフステータスを変更し、通常は利用できない機能とデータにアクセスできます。潜在的な影響には、在庫データの操作、不正なユーザーの作成、機密情報への不正アクセスが含まれます。この脆弱性の深刻度は、CVSSによると7.2と評価されています。
この脆弱性は、InvenTree内のスタッフ権限を持たない認証済みユーザーであれば誰でも悪用できます。高度な技術スキルは必要なく、単純なPOSTリクエストで悪用できます。この脆弱性の悪用しやすさと、在庫データへの整合性と機密性に与える潜在的な影響は、重要な懸念事項です。潜在的なリスクを特定し軽減するために、ペネトレーションテストを実施することをお勧めします。
Organizations using InvenTree for inventory management, particularly those with multiple users and varying permission levels, are at risk. Environments with weak password policies or shared user accounts are especially vulnerable. Users relying on InvenTree's access controls for sensitive inventory data are also at increased risk.
• php: Examine InvenTree's API endpoint logs for suspicious POST requests targeting user account modification. Look for requests originating from non-staff users attempting to change their 'staff' status.
grep 'user_id=[0-9]+&staff=true' /path/to/invenTree/api.log• generic web: Monitor access logs for unusual activity related to user account management endpoints.
curl -I http://your-invenTree-instance/api/users/{user_id}/ | grep -i staffdisclosure
エクスプロイト状況
EPSS
0.04% (11% パーセンタイル)
CISA SSVC
この脆弱性の修正は、InvenTreeをバージョン1.2.7以降、またはバージョン1.3.0にアップデートすることです。これらのバージョンには、ユーザーアカウントAPIエンドポイントの書き込み権限を適切に制限する修正が含まれており、権限昇格を防ぎます。即時のアップデートが不可能な場合は、ユーザーアカウントの定期的なレビューやAPIアクセス制限などの追加のセキュリティ対策を実装することを検討してください。システムログを不審なアクティビティについて監視することも、潜在的な攻撃を検出し、対応するのに役立ちます。
Actualice InvenTree a la versión 1.2.7 o superior para corregir la vulnerabilidad de escalada de privilegios. La actualización corrige la configuración incorrecta de los permisos de escritura en el API, evitando que usuarios no autorizados cambien su estado de personal.
脆弱性分析と重要アラートをメールでお届けします。
これは、InvenTreeのこの特定の脆弱性の一意の識別子です。研究者やシステム管理者が脆弱性の修正を追跡および管理できるようにします。
ユーザーアカウントの定期的なレビューやAPIアクセス制限などの追加のセキュリティ対策を実装してください。不審なアクティビティについてシステムログを監視してください。
使用しているInvenTreeのバージョンを確認してください。バージョンが1.2.7または1.3.0より前の場合は、脆弱です。
現在、この脆弱性を検出するための特定のツールはありません。最良の方法は、InvenTreeのバージョンを確認することです。
InvenTreeに保存されているすべてのデータ(製品の説明、数量、場所、コスト、ベンダーなど)は、攻撃者がスタッフ権限を取得した場合、侵害される可能性があります。
CVSS ベクトル