CVE-2026-37709

Nome do Software Vulnerável e Versões Afetadas grokability snipe-it versões anteriores a 8.4.1

Descrição Permissões inseguras permitem que um invasor remoto execute código arbitrário por meio do componente app/Http/Controllers/Api/UploadedFilesController.php. Usuários com permissões para visualizar ativos ou consumíveis podem enviar uma solicitação POST para o endpoint "/api/v1/{object type}/{id}/files". A API autoriza incorretamente essas solicitações usando permissões de visualização em vez de permissões de gravação, permitindo a persistência de arquivos e entradas de log de auditoria.

Recomendações Atualize para a versão 8.4.1.