CVE-2026-33530 in InvenTree
Sumário
de VulDB • 23/06/2026
O InvenTree é um Sistema de Gestão de Inventário Open Source. Antes da versão 1.2.6, certos endpoints de API associados a operações em massa podem ser sequestrados para exfiltrar informações sensíveis do banco de dados. Os endpoints da API de operação em massa (por exemplo, `/api/part/`, `/api/stock/`, `/api/order/so/allocation/` e outros) aceitam um parâmetro `filters` que é passado diretamente para o método `queryset.filter(**filters)` do ORM do Django sem qualquer lista permitida (*allowlisting*) de campos. Isso permite que qualquer usuário autenticado percorra as relações dos modelos usando a sintaxe de lookup `__` do Django e realize extração cega de dados baseada em booleanos. Este problema foi corrigido nas versões 1.2.6, bem como na versão 1.3.0 (ou superior). Os usuários devem atualizar para as versões corrigidas. Não há soluções alternativas conhecidas disponíveis.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.