CVE-2026-33531 in InvenTreeinformación

Resumen

por VulDB • 2026-05-15

InvenTree es un sistema de gestión de inventario de código abierto. Antes de la versión 1.2.6, una vulnerabilidad de path traversal en el motor de plantillas de informes permite a un usuario con nivel de personal leer archivos arbitrarios del sistema de archivos del servidor mediante etiquetas de plantilla manipuladas ad hoc. Funciones afectadas: `encode_svg_image()`, `asset()` y `uploaded_image()` en `src/backend/InvenTree/report/templatetags/report.py`. Esto requiere acceso de personal (para cargar/editar plantillas con etiquetas manipuladas maliciosamente). Si la instalación de InvenTree está configurada con privilegios de acceso elevados en el sistema host, esta path traversal podría permitir el acceso a archivos fuera del directorio de origen de InvenTree. Este problema está parcheado en las versiones 1.2.6 y 1.3.0 (o superiores). Los usuarios deben actualizar a las versiones parcheadas. No hay workarounds conocidos disponibles.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2026-03-20

Divulgación

2026-03-26

Moderación

aceptado

Artículo

VDB-353722

CPE

listo

EPSS

0.00293

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!