0Xaspros

**Nome do Software Vulnerável e Versões Afetadas** grokability snipe-it versões anteriores a 8.4.1 **Descrição** Permissões inseguras permitem que um invasor remoto execute código arbitrário por meio do componente `app/Http/Controllers/Api/UploadedFilesController.php`. Usuários com permissões para visualizar ativos ou consumíveis podem enviar uma solicitação POST para o endpoint "/api/v1/{object type}/{id}/files". A API autoriza incorretamente essas solicitações usando permissões de visualização em vez de permissões de gravação, permitindo a persistência de arquivos e entradas de log de auditoria. **Recomendações** Atualize para a versão 8.4.1.