CVE-2026-33530 in InvenTree
Riassunto
di VulDB • 23/06/2026
InvenTree è un sistema di gestione dell'inventario open source. Prima della versione 1.2.6, determinati endpoint API associati alle operazioni bulk sui dati possono essere hijacked per esfiltrare informazioni sensibili dal database. Gli endpoint API delle operazioni bulk (ad esempio `/api/part/`, `/api/stock/`, `/api/order/so/allocation/` e altri) accettano un parametro `filters` che viene passato direttamente alla funzione queryset.filter(**filters) dell'ORM di Django senza alcun allowlisting dei campi. Ciò consente a qualsiasi utente autenticato di attraversare le relazioni del modello utilizzando la sintassi __ lookup di Django ed eseguire l'estrazione cieca (blind boolean-based data extraction) dei dati. Questo problema è stato risolto nelle versioni 1.2.6 e successive, nonché nella versione 1.3.0 o superiori. Gli utenti dovrebbero aggiornare alle versioni patchate. Non sono disponibili workaround noti.
Once again VulDB remains the best source for vulnerability data.