無料スキャン
MEDIUMCVE-2026-35479CVSS 6.6

InvenTreeプラグインのインストール - 不十分な権限

プラットフォーム

php

コンポーネント

inventree

修正版

1.2.8

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月
NVDで見る
保存
あなたの言語に翻訳中…

CVE-2026-35479 is a vulnerability in InvenTree, an open-source inventory management system. It allows users with staff access permissions to install plugins via the API, bypassing the usual superuser requirement. This misconfiguration could lead to the installation of malicious plugins, potentially compromising the system's integrity and data. The vulnerability impacts versions 1.2.0 through 1.2.6 and is resolved in versions 1.2.7 and 1.3.0.

影響と攻撃シナリオ

CVE-2026-35479 は、オープンソースの在庫管理システムである InvenTree に影響を与えます。1.2.7 および 1.3.0 以前のバージョンでは、スタッフアクセス権を持つユーザーは、「スーパーユーザー」アカウントアクセスを必要とせずに API を介してプラグインをインストールできました。この権限レベルの要件は、他のプラグインアクション(アンインストールなど)と一致しておらず、それらはスーパーユーザーアクセスを必要とします。この脆弱性により、スタッフユーザー(スーパーユーザーアカウントよりも信頼性が低いと見なされる可能性がある)は、任意で、潜在的に悪意のあるプラグインをインストールできるようになります。これにより、在庫システムの整合性とセキュリティが損なわれ、不正なコードの実行と機密データへのアクセスが可能になる可能性があります。

悪用の状況

InvenTree のスタッフアカウントにアクセスできる攻撃者は、この脆弱性を悪用して悪意のあるプラグインをインストールする可能性があります。これらのプラグインは、データを盗んだり、データベースを変更したり、システムを制御したりするように設計されている可能性があります。スーパーユーザー権限を必要とせずにスタッフユーザーがプラグインをインストールできる容易さは、悪用されるリスクを高めます。プラグインのインストールに関する適切な権限検証がないため、攻撃者は標準のセキュリティ保護を回避できます。この脆弱性の悪用が成功した場合、在庫データの整合性と機密性に深刻な影響を与える可能性があります。

リスク対象者翻訳中…

Organizations using InvenTree for inventory management, particularly those with multiple staff users granted access to the system. Smaller businesses or those with less stringent security practices are at higher risk, as they may be less likely to have implemented robust access controls or to regularly update their software. Shared hosting environments where multiple InvenTree instances are running on the same server are also at increased risk, as a compromise of one instance could potentially affect others.

検出手順翻訳中…

• php: Examine InvenTree's API logs for plugin installation requests originating from users without superuser privileges. Look for POST requests to the plugin installation endpoint with unusual or suspicious plugin metadata.

grep 'plugin_install' /var/log/apache2/access.log | grep 'staff_user'

• generic web: Monitor InvenTree's access logs for attempts to access plugin installation endpoints. Look for unusual user agents or IP addresses.

curl -I <invenTree_url>/api/plugins/install

• generic web: Check for the presence of newly installed plugins that were not authorized by the system administrator. Review the plugin list within the InvenTree admin interface.

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート1 脅威レポート

EPSS

0.03% (10% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L6.6MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredHigh攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityLow機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityLowサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
高 — 管理者または特権アカウントが必要。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
低 — 一部データへの部分的アクセス。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
低 — 部分的または断続的なサービス拒否。

影響を受けるソフトウェア

コンポーネントinventree
ベンダーinventree
影響範囲修正版
< 1.2.7 – < 1.2.71.2.8

弱点分類 (CWE)

CWE-285

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策

CVE-2026-35479 を軽減するための解決策は、InvenTree をバージョン 1.2.7 以降、またはバージョン 1.3.0 以降にアップデートすることです。これらのバージョンは、プラグインのインストールにスーパーユーザー権限を要求することで、この脆弱性を修正し、このプロセスを他のプラグイン管理アクションと一致させます。潜在的な攻撃から InvenTree システムを保護するために、できるだけ早くこのアップデートを適用することをお勧めします。さらに、ユーザー権限設定を確認して、承認されたユーザーのみがシステム内の重要な機能にアクセスできるようにしてください。プラグインのインストールに関連する疑わしいアクティビティを検出するために、システムログを監視してください。

修正方法翻訳中…

Actualice InvenTree a la versión 1.2.7 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de permisos adecuada para la instalación de plugins a través de la API, requiriendo ahora privilegios de superusuario.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-35479 とは何ですか?(InvenTree)

InvenTree は、企業が資産を追跡および管理するのに役立つオープンソースの在庫管理システムです。

InvenTree の CVE-2026-35479 による影響を受けていますか?

アップデートは、CVE-2026-35479 の脆弱性を修正し、スタッフユーザーがスーパーユーザー権限なしにプラグインをインストールすることを許可し、システムセキュリティを損なう可能性があります。

InvenTree の CVE-2026-35479 を修正するにはどうすればよいですか?

悪意のあるプラグインは、データを盗んだり、データベースを変更したり、システムを制御したりする可能性があります。

CVE-2026-35479 は積極的に悪用されていますか?

ユーザー権限を確認し、疑わしいアクティビティがないかシステムログを監視してください。

CVE-2026-35479 に関する InvenTree の公式アドバイザリはどこで確認できますか?

InvenTree についての詳細は、公式ウェブサイトで確認できます: [https://www.inventree.org/](https://www.inventree.org/)

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索