PT-2026-57264 · Snipe-It · Snipe-It
Publicado
2026-07-10
·
Atualizado
2026-07-10
·
CVE-2026-55460
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L |
Nome do Software Vulnerável e Versões Afetadas
Snipe-IT versões anteriores a 8.6.2
Description
Um usuário não administrador autenticado com permissões
users.view e users.edit, mas sem a permissão users.delete, pode realizar a exclusão lógica (soft-delete) de outro usuário não administrador. Isso ocorre porque a função BulkUsersController::destroy() autoriza apenas a ação de atualização, permitindo que o usuário envie uma requisição POST para o endpoint '/users/bulksave' com a variável delete user definida como 1.Recommendations
Atualizar para a versão 8.6.2.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Snipe-It