CVE-2026-48492

Nome do Software Vulnerável e Versões Afetadas Snipe-IT (versões afetadas não especificadas)

Descrição Um problema de controle de acesso inadequado existe no endpoint de API 'GET /api/v1/{object}/selectlist' devido à ausência de uma verificação de autorização. Qualquer usuário autenticado, independentemente de suas permissões atribuídas, pode usar seu cookie de sessão web para recuperar uma lista paginada de todas as contas de usuário. Essa exposição inclui nomes de usuário, nomes de exibição, números de funcionário e IDs de usuário para cada conta ativa no sistema quando o FMCS (Field Management Control System) está desativado, ou para contas dentro da própria empresa do usuário quando o FMCS está ativado. Um invasor com credenciais de login válidas pode enumerar contas ativas, coletar nomes de usuário para ataques de credential stuffing ou password spray, coletar números de funcionários e nomes completos para engenharia social, realizar a enumeração indireta de e-mails através do parâmetro search e mapear IDs de usuário para enumerações adicionais em outros endpoints.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.