CVE-2026-44832

Nome do Software Vulnerável e Versões Afetadas Snipe-IT versões anteriores a 8.4.1

Description Um usuário autenticado que possui apenas a permissão users.edit pode escalar seus privilégios para administrador. Isso ocorre ao enviar uma requisição PATCH para o endpoint '/api/v1/users/{id}' com a variável permissions[admin] definida como 1. O controlador da API não valida adequadamente a matriz de permissões, removendo apenas a chave superuser, enquanto permite que a chave admin e outras chaves de permissão sejam modificadas por qualquer usuário com capacidades de atualização.

Recommendations Atualizar para a versão 8.4.1.