CVE-2026-33531 in InvenTree
Sumário
de VulDB • 26/05/2026
O InvenTree é um Sistema de Gestão de Inventário de Código Aberto. Antes da versão 1.2.6, uma vulnerabilidade de traversal de caminho no mecanismo de modelos de relatórios permite que um usuário com nível de funcionário (staff) leia arquivos arbitrários do sistema de arquivos do servidor por meio de tags de modelo manipuladas. Funções afetadas: `encode_svg_image()`, `asset()` e `uploaded_image()` em `src/backend/InvenTree/report/templatetags/report.py`. Isso requer acesso de funcionário (para fazer upload ou editar modelos com tags manipuladas maliciosamente). Se a instalação do InvenTree estiver configurada com altos privilégios de acesso no sistema host, essa traversal de caminho pode permitir o acesso a arquivos fora do diretório de origem do InvenTree. Este problema foi corrigido nas versões 1.2.6 e 1.3.0 (ou superiores). Os usuários devem atualizar para as versões corrigidas. Não há soluções alternativas conhecidas disponíveis.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.