CVE-2026-35479 is a vulnerability in InvenTree, an open-source inventory management system. It allows users with staff access permissions to install plugins via the API, bypassing the usual superuser requirement. This misconfiguration could lead to the installation of malicious plugins, potentially compromising the system's integrity and data. The vulnerability impacts versions 1.2.0 through 1.2.6 and is resolved in versions 1.2.7 and 1.3.0.
CVE-2026-35479 は、オープンソースの在庫管理システムである InvenTree に影響を与えます。1.2.7 および 1.3.0 以前のバージョンでは、スタッフアクセス権を持つユーザーは、「スーパーユーザー」アカウントアクセスを必要とせずに API を介してプラグインをインストールできました。この権限レベルの要件は、他のプラグインアクション(アンインストールなど)と一致しておらず、それらはスーパーユーザーアクセスを必要とします。この脆弱性により、スタッフユーザー(スーパーユーザーアカウントよりも信頼性が低いと見なされる可能性がある)は、任意で、潜在的に悪意のあるプラグインをインストールできるようになります。これにより、在庫システムの整合性とセキュリティが損なわれ、不正なコードの実行と機密データへのアクセスが可能になる可能性があります。
InvenTree のスタッフアカウントにアクセスできる攻撃者は、この脆弱性を悪用して悪意のあるプラグインをインストールする可能性があります。これらのプラグインは、データを盗んだり、データベースを変更したり、システムを制御したりするように設計されている可能性があります。スーパーユーザー権限を必要とせずにスタッフユーザーがプラグインをインストールできる容易さは、悪用されるリスクを高めます。プラグインのインストールに関する適切な権限検証がないため、攻撃者は標準のセキュリティ保護を回避できます。この脆弱性の悪用が成功した場合、在庫データの整合性と機密性に深刻な影響を与える可能性があります。
Organizations using InvenTree for inventory management, particularly those with multiple staff users granted access to the system. Smaller businesses or those with less stringent security practices are at higher risk, as they may be less likely to have implemented robust access controls or to regularly update their software. Shared hosting environments where multiple InvenTree instances are running on the same server are also at increased risk, as a compromise of one instance could potentially affect others.
• php: Examine InvenTree's API logs for plugin installation requests originating from users without superuser privileges. Look for POST requests to the plugin installation endpoint with unusual or suspicious plugin metadata.
grep 'plugin_install' /var/log/apache2/access.log | grep 'staff_user'• generic web: Monitor InvenTree's access logs for attempts to access plugin installation endpoints. Look for unusual user agents or IP addresses.
curl -I <invenTree_url>/api/plugins/install• generic web: Check for the presence of newly installed plugins that were not authorized by the system administrator. Review the plugin list within the InvenTree admin interface.
disclosure
エクスプロイト状況
EPSS
0.03% (10% パーセンタイル)
CISA SSVC
CVE-2026-35479 を軽減するための解決策は、InvenTree をバージョン 1.2.7 以降、またはバージョン 1.3.0 以降にアップデートすることです。これらのバージョンは、プラグインのインストールにスーパーユーザー権限を要求することで、この脆弱性を修正し、このプロセスを他のプラグイン管理アクションと一致させます。潜在的な攻撃から InvenTree システムを保護するために、できるだけ早くこのアップデートを適用することをお勧めします。さらに、ユーザー権限設定を確認して、承認されたユーザーのみがシステム内の重要な機能にアクセスできるようにしてください。プラグインのインストールに関連する疑わしいアクティビティを検出するために、システムログを監視してください。
Actualice InvenTree a la versión 1.2.7 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de permisos adecuada para la instalación de plugins a través de la API, requiriendo ahora privilegios de superusuario.
脆弱性分析と重要アラートをメールでお届けします。
InvenTree は、企業が資産を追跡および管理するのに役立つオープンソースの在庫管理システムです。
アップデートは、CVE-2026-35479 の脆弱性を修正し、スタッフユーザーがスーパーユーザー権限なしにプラグインをインストールすることを許可し、システムセキュリティを損なう可能性があります。
悪意のあるプラグインは、データを盗んだり、データベースを変更したり、システムを制御したりする可能性があります。
ユーザー権限を確認し、疑わしいアクティビティがないかシステムログを監視してください。
InvenTree についての詳細は、公式ウェブサイトで確認できます: [https://www.inventree.org/](https://www.inventree.org/)
CVSS ベクトル