CVE-2026-37709
KrytyczneStreszczenie
W podatności o nazwie CVE-2026-37709 występuje niebezpieczna konfiguracja uprawnień w grokability snipe-it w wersji 8.4.0 i wcześniejszych, która została naprawiona po commitcie 676a9958 z dnia 10 marca 2026 roku. Umożliwia to zdalnemu atakującemu wykonanie dowolnego kodu za pośrednictwem komponentu app/Http/Controllers/Api/UploadedFilesController.php.
Ocena ryzyka
Organizacja narażona jest na ryzyko zdalnego wykonania kodu, co może prowadzić do przejęcia kontroli nad systemem oraz wycieku danych.
Rekomendacja
Zaleca się aktualizację do wersji grokability snipe-it po commitcie 676a9958, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Insecure Permissions vulnerability in grokability snipe-it v.8.4.0 and before and fixed after 2026-03-10 commit 676a9958 allows a remote attacker to execute arbitrary code via the app/Http/Controllers/Api/UploadedFilesController.php component

