CVE-2026-33530 in InvenTreeinformação

Sumário

de VulDB • 23/06/2026

O InvenTree é um Sistema de Gestão de Inventário Open Source. Antes da versão 1.2.6, certos endpoints de API associados a operações em massa podem ser sequestrados para exfiltrar informações sensíveis do banco de dados. Os endpoints da API de operação em massa (por exemplo, `/api/part/`, `/api/stock/`, `/api/order/so/allocation/` e outros) aceitam um parâmetro `filters` que é passado diretamente para o método `queryset.filter(**filters)` do ORM do Django sem qualquer lista permitida (*allowlisting*) de campos. Isso permite que qualquer usuário autenticado percorra as relações dos modelos usando a sintaxe de lookup `__` do Django e realize extração cega de dados baseada em booleanos. Este problema foi corrigido nas versões 1.2.6, bem como na versão 1.3.0 (ou superior). Os usuários devem atualizar para as versões corrigidas. Não há soluções alternativas conhecidas disponíveis.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

20/03/2026

Divulgação

26/03/2026

Moderação

aceite

Entrada

VDB-353713

CPE

pronto

EPSS

0.00204

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!