CVE-2026-48493
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
W systemie Snipe-IT w wersjach przed 8.6.0 użytkownik z uprawnieniem users.edit może wysłać żądanie PATCH do /api/v1/users/{swoje_id} i nadać sobie dowolne uprawnienia (oprócz admin i superuser), np. assets.view, assets.create, reports.view czy import. Problem został naprawiony w wersji 8.6.0.
Ocena ryzyka
Ryzyko polega na eskalacji uprawnień przez zwykłego użytkownika, co może prowadzić do nieautoryzowanego dostępu do zasobów, tworzenia aktywów, przeglądania raportów lub importu danych, naruszając poufność i integralność systemu.
Rekomendacja
Należy niezwłocznie zaktualizować Snipe-IT do wersji 8.6.0 lub nowszej. Do czasu aktualizacji ograniczyć uprawnienia users.edit tylko do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Snipe-IT is an IT asset/license management system. In versions prior to 8.6.0, a user with only users.edit can send a PATCH to /api/v1/users/{their_own_id} and grant themselves any permission except admin and superuser — for example `assets.view`, `assets.create`, `reports.view`, import, etc. The issue is patched in version 8.6.0.

