CVE-2026-55163

Nome do Software Vulnerável e Versões Afetadas Lemur (versões afetadas não especificadas)

Description Existe uma falha de bypass de autorização no endpoint PUT /api/1/roles/<id>. O manipulador permite incorretamente que qualquer usuário membro de uma função específica modifique essa função, pois a verificação de permissão é satisfeita pela adesão à função em vez de exigir privilégios administrativos. Isso permite que um membro da função reescreva a lista de membros da função manipulando a variável users e altere o nome da função através da variável name. Consequentemente, um invasor pode adicionar usuários não autorizados a uma função para conceder acesso elevado ou remover usuários legítimos para negar seu acesso.

Recommendations Aplique o decorador @admin permission.require(http exception=403) à função Roles.put para garantir que apenas administradores possam modificar funções. Como medida de mitigação temporária, restrinja o acesso ao endpoint PUT /api/1/roles/<id> apenas a contas administrativas confiáveis.