PT-2024-37081 · Snipe-It · Snipe-It
Publicado
2024-06-14
·
Atualizado
2024-06-19
·
CVE-2024-5685
CVSS v4.0
8.6
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas:
snipe-it, versões 4.6.17 a 6.4.1
Descrição:
A vulnerabilidade permite que usuários com permissões
User:edit e Self:api promovam ou rebaixem a si mesmos ou a outros usuários, realizando alterações nas composições dos grupos por meio de uma chamada de API.Recomendações:
Para as versões 4.6.17 a 6.4.1, considere restringir as permissões
User:edit e Self:api para impedir alterações não autorizadas nas associações do grupo até que um patch esteja disponível. Como solução alternativa temporária, considere desativar as chamadas de API que permitem alterações nas associações do grupo para minimizar o risco de exploração.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Snipe-It