Katalog CVE

CVE-2026-48493

ŚrednieCVSS 5.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

W systemie Snipe-IT w wersjach przed 8.6.0 użytkownik z uprawnieniem users.edit może wysłać żądanie PATCH do /api/v1/users/{swoje_id} i nadać sobie dowolne uprawnienia (oprócz admin i superuser), np. assets.view, assets.create, reports.view czy import. Problem został naprawiony w wersji 8.6.0.

Ocena ryzyka

Ryzyko polega na eskalacji uprawnień przez zwykłego użytkownika, co może prowadzić do nieautoryzowanego dostępu do zasobów, tworzenia aktywów, przeglądania raportów lub importu danych, naruszając poufność i integralność systemu.

Rekomendacja

Należy niezwłocznie zaktualizować Snipe-IT do wersji 8.6.0 lub nowszej. Do czasu aktualizacji ograniczyć uprawnienia users.edit tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Snipe-IT is an IT asset/license management system. In versions prior to 8.6.0, a user with only users.edit can send a PATCH to /api/v1/users/{their_own_id} and grant themselves any permission except admin and superuser — for example `assets.view`, `assets.create`, `reports.view`, import, etc. The issue is patched in version 8.6.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS