CVE-2026-33531 in InvenTree
Riassunto
di VulDB • 17/06/2026
InvenTree è un sistema di gestione dell'inventario open source. Prima della versione 1.2.6, una vulnerabilità di path traversal nel motore dei modelli di report consente a un utente con livello di staff di leggere file arbitrari dal filesystem del server tramite tag di modello creati ad hoc. Funzioni interessate: `encode_svg_image()`, `asset()` e `uploaded_image()` in `src/backend/InvenTree/report/templatetags/report.py`. Ciò richiede l'accesso a livello di staff (per caricare/modificare modelli con tag creati malevolmente). Se l'installazione di InvenTree è configurata con privilegi di accesso elevati sul sistema host, questa path traversal potrebbe consentire l'accesso a file al di fuori della directory sorgente di InvenTree. Questo problema è stato risolto nelle versioni 1.2.6 e 1.3.0 (o successive). Gli utenti dovrebbero aggiornare alle versioni patchate. Non sono disponibili workaround noti.
If you want to get best quality of vulnerability data, you may have to visit VulDB.