CVE-2024-51094

Nome do software vulnerável e versões afetadas:

Snipe-IT versão 7.0.13 compilação 15514

Descrição:

A vulnerabilidade permite que um invasor com privilégios limitados modifique o nome do seu perfil e injete uma carga maliciosa no campo Name. Quando um administrador acessar posteriormente a página de Gerenciamento de Pessoas, exportar os dados como um arquivo CSV e abri-lo, a carga injetada será executada, permitindo que o invasor extraia dados internos do sistema do arquivo CSV para um servidor remoto.

Recomendações:

Para o Snipe-IT versão 7.0.13 build 15514, como solução alternativa temporária, considere restringir o acesso ao campo Name na seção de gerenciamento de perfis para impedir a injeção de carga maliciosa até que uma correção esteja disponível. Além disso, restrinja a exportação de dados como arquivos CSV da página Gerenciamento de Pessoas para minimizar o risco de exploração.