Plataforma
python
Componente
inventree
Corrigido em
1.2.4
CVE-2026-35477 is a remote code execution (RCE) vulnerability discovered in InvenTree, an open-source inventory management system. This flaw allows authenticated staff users with settings access to craft malicious templates that bypass validation and execute arbitrary code during rendering. The vulnerability impacts versions 1.2.3 through 1.2.6 and is addressed in version 1.2.7.
CVE-2026-35477 afeta o InvenTree nas versões de 1.2.3 a 1.2.6. A vulnerabilidade reside na forma como o sistema renderiza os nomes das peças usando modelos Jinja2. Embora tenha sido implementada uma correção para CVE-2026-27629, esta não foi totalmente aplicada. Especificamente, o validador utiliza um ambiente Jinja2 sandboxed, mas o motor de renderização real em part/helpers.py continua a utilizar um ambiente Jinja2 não sandboxed. Isso permite a execução de código arbitrário através de modelos maliciosos nos nomes das peças, comprometendo potencialmente a segurança do sistema. A utilização de uma instância de Part fictícia com pk=None durante a validação introduz uma discrepância no comportamento das expressões condicionais, o que complica ainda mais a mitigação. Um utilizador com privilégios de pessoal pode explorar esta vulnerabilidade.
Um atacante com privilégios de pessoal pode injetar código malicioso no formato do nome de uma peça. Este código será executado durante a renderização, permitindo potencialmente ao atacante aceder a dados sensíveis, modificar a base de dados ou até mesmo executar comandos no servidor. A discrepância entre a validação e a renderização torna a deteção mais difícil, uma vez que o código malicioso pode passar pela validação, mas executar durante a renderização. A falta de um ambiente sandboxed durante a renderização é o fator chave que permite a exploração.
Organizations utilizing InvenTree for inventory management, particularly those running vulnerable versions (1.2.3 - 1.2.6) in production environments, are at risk. Shared hosting environments where InvenTree is deployed alongside other applications are also vulnerable, as a compromise of one application could lead to the exploitation of this vulnerability.
• python / server:
import os
import subprocess
def check_invenTree_version():
try:
result = subprocess.check_output(['pip3', 'show', 'invenTree'], stderr=subprocess.STDOUT)
version = result.decode('utf-8').split('Version: ')[1].strip()
if '1.2.3' <= version < '1.2.7':
print("VULNERABLE: InvenTree version detected.")
else:
print("InvenTree version is not vulnerable.")
except FileNotFoundError:
print("InvenTree not found.")
except Exception as e:
print(f"Error checking version: {e}")
check_invenTree_version()• generic web:
curl -I http://your-invenTree-instance/admin/settings/ | grep -i 'jinja2'disclosure
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar o InvenTree para a versão 1.2.7 ou posterior, que corrige completamente esta vulnerabilidade. Esta atualização substitui o motor de renderização não sandboxed pelo ambiente Jinja2 sandboxed utilizado pelo validador. Adicionalmente, recomenda-se rever e validar todos os modelos de nomes de peças existentes para garantir que não contenham código malicioso. Se não for possível atualizar imediatamente, recomenda-se restringir o acesso à funcionalidade de edição de nomes de peças a utilizadores de confiança e monitorizar os registos do sistema em busca de atividades suspeitas. Implementar uma política de segurança de modelos é crucial para prevenir futuras vulnerabilidades.
Actualizar InvenTree a la versión 1.2.7 o superior. Esta actualización corrige una vulnerabilidad de inyección de código a través de la manipulación de plantillas, asegurando que el renderizado de nombres de piezas se realice en un entorno sandbox seguro.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
InvenTree é um sistema de gestão de inventário de código aberto.
Esta atualização corrige uma vulnerabilidade de segurança que poderia permitir a um atacante executar código malicioso no seu sistema.
Restrinja o acesso à edição de nomes de peças e monitore os registos do sistema.
Se estiver a utilizar uma versão do InvenTree entre 1.2.3 e 1.2.6, é vulnerável.
Consulte as notas de lançamento do InvenTree 1.2.7 para obter mais detalhes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.