Plataforma
php
Componente
inventree
Corrigido em
1.2.8
CVE-2026-35476 describes a Privilege Escalation vulnerability discovered in InvenTree, an open-source inventory management system. This flaw allows a non-staff user, after authentication, to elevate their account privileges to a staff level, granting them broader access and control within the system. The vulnerability impacts versions 1.2.0 through 1.2.6 and is resolved in versions 1.2.7 and 1.3.0.
A vulnerabilidade CVE-2026-35476 no InvenTree permite que um usuário autenticado não-administrador eleve sua conta para o nível de funcionário. Isso se deve a permissões de escrita configuradas incorretamente no endpoint da API da conta de usuário. Um atacante pode enviar uma solicitação POST para este endpoint para modificar seu próprio status de funcionário, obtendo acesso a funcionalidades e dados que normalmente não estariam disponíveis. O impacto potencial inclui a manipulação de dados de inventário, a criação de usuários fraudulentos e o acesso não autorizado a informações confidenciais. A gravidade desta vulnerabilidade é avaliada em 7.2 de acordo com o CVSS.
Esta vulnerabilidade é explorável por qualquer usuário autenticado no InvenTree que não tenha privilégios de funcionário. Não requer habilidades técnicas avançadas, pois pode ser explorada com uma simples solicitação POST. A facilidade de exploração e o impacto potencial na integridade e confidencialidade dos dados de inventário tornam esta uma preocupação significativa. Recomenda-se realizar testes de penetração para identificar e mitigar quaisquer riscos potenciais.
Organizations using InvenTree for inventory management, particularly those with multiple users and varying permission levels, are at risk. Environments with weak password policies or shared user accounts are especially vulnerable. Users relying on InvenTree's access controls for sensitive inventory data are also at increased risk.
• php: Examine InvenTree's API endpoint logs for suspicious POST requests targeting user account modification. Look for requests originating from non-staff users attempting to change their 'staff' status.
grep 'user_id=[0-9]+&staff=true' /path/to/invenTree/api.log• generic web: Monitor access logs for unusual activity related to user account management endpoints.
curl -I http://your-invenTree-instance/api/users/{user_id}/ | grep -i staffdisclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A correção para esta vulnerabilidade é atualizar o InvenTree para a versão 1.2.7 ou superior, ou para a versão 1.3.0. Essas versões incluem uma correção que restringe adequadamente as permissões de escrita no endpoint da API da conta de usuário, impedindo a escalada de privilégios. Se uma atualização imediata não for possível, considere implementar medidas de segurança adicionais, como revisões regulares de contas de usuário e limitações de acesso à API. Monitorar os logs do sistema em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques.
Actualice InvenTree a la versión 1.2.7 o superior para corregir la vulnerabilidad de escalada de privilegios. La actualización corrige la configuración incorrecta de los permisos de escritura en el API, evitando que usuarios no autorizados cambien su estado de personal.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um identificador único para esta vulnerabilidade específica no InvenTree. Permite que pesquisadores e administradores de sistemas rastreiem e gerenciem a correção da vulnerabilidade.
Implemente medidas de segurança adicionais, como revisões de contas de usuário e limitações de acesso à API. Monitore os logs do sistema em busca de atividades suspeitas.
Verifique a versão do InvenTree que você está usando. Se for anterior a 1.2.7 ou 1.3.0, é vulnerável.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade. A melhor maneira é verificar a versão do InvenTree.
Qualquer dado armazenado no InvenTree, incluindo descrições de produtos, quantidades, locais, custos e fornecedores, pode ser comprometido se um atacante obtiver privilégios de funcionário.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.