CVE-2026-33530 in InvenTreeinformazioni

Riassunto

di VulDB • 23/06/2026

InvenTree è un sistema di gestione dell'inventario open source. Prima della versione 1.2.6, determinati endpoint API associati alle operazioni bulk sui dati possono essere hijacked per esfiltrare informazioni sensibili dal database. Gli endpoint API delle operazioni bulk (ad esempio `/api/part/`, `/api/stock/`, `/api/order/so/allocation/` e altri) accettano un parametro `filters` che viene passato direttamente alla funzione queryset.filter(**filters) dell'ORM di Django senza alcun allowlisting dei campi. Ciò consente a qualsiasi utente autenticato di attraversare le relazioni del modello utilizzando la sintassi __ lookup di Django ed eseguire l'estrazione cieca (blind boolean-based data extraction) dei dati. Questo problema è stato risolto nelle versioni 1.2.6 e successive, nonché nella versione 1.3.0 o superiori. Gli utenti dovrebbero aggiornare alle versioni patchate. Non sono disponibili workaround noti.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

20/03/2026

Divulgazione

26/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00204

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!