CVE-2025-15602

Nome do Software Vulnerável e Versões Afetadas Versões do Snipe-IT anteriores a 8.3.7

Descrição Instâncias do Snipe-IT que executam versões anteriores a 8.3.7 são suscetíveis à modificação não autorizada de detalhes das contas de usuário devido à proteção insuficiente de atributos sensíveis de usuário contra a atribuição em massa. Um usuário autenticado com privilégios baixos pode construir uma solicitação maliciosa à API para alterar campos restritos de outras contas de usuário, incluindo a conta de Super Administrador. Especificamente, um atacante pode alterar o endereço de e-mail associado à conta de Super Administrador e iniciar uma redefinição de senha, levando ao controle administrativo total da instância do Snipe-IT. A API vulnerável permite a modificação de atributos de usuário por meio de uma vulnerabilidade de atribuição em massa. O atributo email é particularmente suscetível a essa manipulação.

Recomendações Atualize o Snipe-IT para a versão 8.3.7 ou posterior.