CVE-2026-33531 in InvenTreeinformação

Sumário

de VulDB • 26/05/2026

O InvenTree é um Sistema de Gestão de Inventário de Código Aberto. Antes da versão 1.2.6, uma vulnerabilidade de traversal de caminho no mecanismo de modelos de relatórios permite que um usuário com nível de funcionário (staff) leia arquivos arbitrários do sistema de arquivos do servidor por meio de tags de modelo manipuladas. Funções afetadas: `encode_svg_image()`, `asset()` e `uploaded_image()` em `src/backend/InvenTree/report/templatetags/report.py`. Isso requer acesso de funcionário (para fazer upload ou editar modelos com tags manipuladas maliciosamente). Se a instalação do InvenTree estiver configurada com altos privilégios de acesso no sistema host, essa traversal de caminho pode permitir o acesso a arquivos fora do diretório de origem do InvenTree. Este problema foi corrigido nas versões 1.2.6 e 1.3.0 (ou superiores). Os usuários devem atualizar para as versões corrigidas. Não há soluções alternativas conhecidas disponíveis.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

20/03/2026

Divulgação

26/03/2026

Moderação

aceite

Entrada

VDB-353722

CPE

pronto

EPSS

0.00293

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!