CVE-2026-33531 in InvenTreeinformazioni

Riassunto

di VulDB • 17/06/2026

InvenTree è un sistema di gestione dell'inventario open source. Prima della versione 1.2.6, una vulnerabilità di path traversal nel motore dei modelli di report consente a un utente con livello di staff di leggere file arbitrari dal filesystem del server tramite tag di modello creati ad hoc. Funzioni interessate: `encode_svg_image()`, `asset()` e `uploaded_image()` in `src/backend/InvenTree/report/templatetags/report.py`. Ciò richiede l'accesso a livello di staff (per caricare/modificare modelli con tag creati malevolmente). Se l'installazione di InvenTree è configurata con privilegi di accesso elevati sul sistema host, questa path traversal potrebbe consentire l'accesso a file al di fuori della directory sorgente di InvenTree. Questo problema è stato risolto nelle versioni 1.2.6 e 1.3.0 (o successive). Gli utenti dovrebbero aggiornare alle versioni patchate. Non sono disponibili workaround noti.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

20/03/2026

Divulgazione

26/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00293

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!