Plataforma
php
Componente
inventree
Corrigido em
1.2.8
CVE-2026-35479 is a vulnerability in InvenTree, an open-source inventory management system. It allows users with staff access permissions to install plugins via the API, bypassing the usual superuser requirement. This misconfiguration could lead to the installation of malicious plugins, potentially compromising the system's integrity and data. The vulnerability impacts versions 1.2.0 through 1.2.6 and is resolved in versions 1.2.7 and 1.3.0.
CVE-2026-35479 afeta o InvenTree, um sistema de gerenciamento de inventário de código aberto. Antes das versões 1.2.7 e 1.3.0, qualquer usuário com permissões de equipe (staff) podia instalar plugins através da API sem a necessidade de uma conta de 'superusuário'. Esse nível de exigência de permissão está desalinhado com outras ações de plugin (como a desinstalação), que exigem acesso de superusuário. A vulnerabilidade permite que usuários da equipe (que podem ser considerados com um nível de confiança menor do que uma conta de superusuário) instalem plugins arbitrários e potencialmente maliciosos. Isso pode comprometer a integridade e a segurança do sistema de inventário, permitindo a execução de código não autorizado e o acesso a dados confidenciais.
Um atacante com acesso a uma conta de equipe no InvenTree pode explorar esta vulnerabilidade para instalar plugins maliciosos. Esses plugins podem ser projetados para roubar dados, modificar o banco de dados ou até mesmo assumir o controle do sistema. A facilidade com que um usuário da equipe pode instalar plugins sem a necessidade de privilégios de superusuário aumenta o risco de exploração. A falta de validação adequada das permissões para a instalação de plugins permite que os atacantes contornem as proteções de segurança padrão. A exploração bem-sucedida desta vulnerabilidade pode ter consequências graves para a integridade e a confidencialidade dos dados de inventário.
Organizations using InvenTree for inventory management, particularly those with multiple staff users granted access to the system. Smaller businesses or those with less stringent security practices are at higher risk, as they may be less likely to have implemented robust access controls or to regularly update their software. Shared hosting environments where multiple InvenTree instances are running on the same server are also at increased risk, as a compromise of one instance could potentially affect others.
• php: Examine InvenTree's API logs for plugin installation requests originating from users without superuser privileges. Look for POST requests to the plugin installation endpoint with unusual or suspicious plugin metadata.
grep 'plugin_install' /var/log/apache2/access.log | grep 'staff_user'• generic web: Monitor InvenTree's access logs for attempts to access plugin installation endpoints. Look for unusual user agents or IP addresses.
curl -I <invenTree_url>/api/plugins/install• generic web: Check for the presence of newly installed plugins that were not authorized by the system administrator. Review the plugin list within the InvenTree admin interface.
disclosure
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A solução para mitigar CVE-2026-35479 é atualizar o InvenTree para a versão 1.2.7 ou superior, ou para a versão 1.3.0 ou superior. Essas versões corrigem a vulnerabilidade exigindo privilégios de superusuário para a instalação de plugins, alinhando esse processo com as demais ações de gerenciamento de plugins. Recomenda-se aplicar esta atualização o mais rápido possível para proteger seu sistema InvenTree de possíveis ataques. Além disso, revise as configurações de permissão do usuário para garantir que apenas os usuários autorizados tenham acesso a funções críticas do sistema. Monitore os logs do sistema para detectar qualquer atividade suspeita relacionada à instalação de plugins.
Actualice InvenTree a la versión 1.2.7 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de permisos adecuada para la instalación de plugins a través de la API, requiriendo ahora privilegios de superusuario.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
InvenTree é um sistema de gerenciamento de inventário de código aberto projetado para ajudar as empresas a rastrear e gerenciar seus ativos.
A atualização corrige a vulnerabilidade CVE-2026-35479, que permite que usuários da equipe instalem plugins sem privilégios de superusuário, o que pode comprometer a segurança do sistema.
Plugins maliciosos poderiam roubar dados, modificar o banco de dados ou até mesmo assumir o controle do sistema.
Revise as permissões do usuário e monitore os logs do sistema para detectar qualquer atividade suspeita.
Você pode encontrar mais informações sobre InvenTree em seu site oficial: [https://www.inventree.org/](https://www.inventree.org/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.