Lorenzofradeani

**Nome do Software Vulnerável e Versões Afetadas** Snipe-IT versões anteriores a 8.4.1 **Description** Usuários com acesso de visualização de componentes podem ser afetados por cross-site scripting (XSS), uma falha onde scripts maliciosos são injetados em sites confiáveis, devido a uma coluna `notes` não escapada. **Recommendations** Atualizar para a versão 8.4.1 ou superior.

**Nome do Software Vulnerável e Versões Afetadas** Snipe-IT versões anteriores a 8.4.1 **Description** Um usuário autenticado que possui apenas a permissão `users.edit` pode escalar seus privilégios para administrador. Isso ocorre ao enviar uma requisição PATCH para o endpoint '/api/v1/users/{id}' com a variável `permissions[admin]` definida como 1. O controlador da API não valida adequadamente a matriz de permissões, removendo apenas a chave `superuser`, enquanto permite que a chave `admin` e outras chaves de permissão sejam modificadas por qualquer usuário com capacidades de atualização. **Recommendations** Atualizar para a versão 8.4.1.