JVNDB-2026-005481 | |
inventree projectのinventreeにおけるテンプレートエンジンで使用される特殊な要素の不適切な無効化に関する脆弱性 | |
| 概要 | |
InvenTreeはオープンソースの在庫管理システムです。バージョン1.2.3以前では、不適切なサーバーサイドテンプレートによりクライアントに機密情報が漏洩する恐れがありました。カスタムバッチコードを生成する際、InvenTreeサーバーはカスタマイズ可能なjinja2テンプレートを使用しており、スタッフユーザーがこれを変更することで機密情報を持ち出したりサーバー上でコードを実行したりできました。この問題はスタッフ権限を持つユーザーのアクセスとAPI経由でのカスタムバッチコード生成要求が必要です。テンプレートが悪意ある形で変更されると、他のユーザーから新たなバッチコード生成のAPI呼び出しが行われ、そのテンプレートコードがそれらのユーザーコンテキストで実行されてしまいます。コードはすべてのテンプレート生成が安全なサンドボックス環境内で実施されるように修正されました。本問題はバージョン1.2.3および1.3.0以降で修正されています。いくつかの回避策も存在します。バッチコードテンプレートはグローバル設定でありスタッフアクセスを持つ任意のユーザーが調整可能です。この設定の編集を防ぐためにシステムレベルでデフォルト値に固定でき、サーバー起動後はクライアント側から変更できません。システム管理者権限が必要です。InvenTreeの1.2.3以前のインストールに対しては、`STOCK_BATCH_CODE_TEMPLATE`および`PART_NAME_FORMAT`のグローバル設定をシステムレベルで上書きし編集を防止することが推奨されます。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 8.8 (重要) [NVD値]
| |
| 影響を受けるシステム | |
|
| |
inventree project | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 | |
| 対策 | |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
|
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/02/25 |
| 登録日 | 2026/03/02 |
| 最終更新日 | 2026/03/02 |
