InvenTree — это система управления запасами с открытым исходным кодом. До версии 1.2.6 уязвимость обхода пути в механизме шаблонов отчетов позволяла пользователю уровня персонала читать произвольные файлы из файловой системы сервера через созданные теги шаблона. Затронутые функции: encode_svg_image(), asset() иuploaded_image() в src/backend/InvenTree/report/templatetags/report.py.
Для этого требуется доступ персонала (для загрузки/редактирования шаблонов со вредоносными тегами). Если установка InvenTree настроена с высокими правами доступа в хост-системе, этот обход пути может разрешить доступ к файлам за пределами исходного каталога InvenTree. Эта проблема исправлена в версии 1.2.6 и 1.3.0 (или выше).
Пользователям следует обновиться до исправленных версий. Никаких известных обходных путей не существует.
Показать оригинальное описание (EN)
InvenTree is an Open Source Inventory Management System. Prior to version 1.2.6, a path traversal vulnerability in the report template engine allows a staff-level user to read arbitrary files from the server filesystem via crafted template tags. Affected functions: `encode_svg_image()`, `asset()`, and `uploaded_image()` in `src/backend/InvenTree/report/templatetags/report.py`. This requires staff access (to upload / edit templates with maliciously crafted tags). If the InvenTree installation is configured with high access privileges on the host system, this path traversal may allow file access outside of the InvenTree source directory. This issue is patched in version 1.2.6, and 1.3.0 (or above). Users should update to the patched versions. No known workarounds are available.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Inventree_Project Inventree
cpe:2.3:a:inventree_project:inventree:*:*:*:*:*:*:*:*
|
— |
1.2.6
|