PT-2026-31435 · Inventree · Inventree
Publicado
2026-04-08
·
Atualizado
2026-04-08
·
CVE-2026-35478
CVSS v3.1
8.3
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
Name of the Vulnerable Software and Affected Versions
InvenTree versões 0.16.0 através de 1.2.6
Description
Um usuário autenticado do InvenTree pode criar um token de API válido para qualquer outro usuário, incluindo administradores e superusuários, fornecendo o ID do usuário de destino no campo
user de uma solicitação POST para o endpoint da API /api/user/tokens/. O token gerado permite a autenticação completa da API como o usuário de destino a partir de qualquer local de rede sem interação adicional.Recommendations
Atualize para a versão 1.2.7 ou 1.3.0.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Inventree