PT-2026-57270 · Snipe-It · Snipe-It

Publicado

2026-07-10

·

Atualizado

2026-07-10

·

CVE-2026-55516

CVSS v3.1

7.7

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas Snipe-IT versões anteriores a 8.6.2
Description Existe um problema no sistema de gerenciamento de ativos e licenças de TI onde os endpoints 'PATCH /api/v1/maintenances/{maintenance id}' e 'PUT /api/v1/maintenances/{maintenance id}' falham ao reautorizar ativos durante a atualização de registros. Embora o sistema verifique o acesso ao registro de manutenção e ao ativo atual, ele permite que campos controlados por atacantes, como asset id, sejam atualizados sem verificar o novo ativo. Isso permite que um usuário autorizado mova um registro de manutenção para um ativo que esteja fora do escopo de sua empresa.
Recommendations Atualize o Snipe-IT para a versão 8.6.2.

Correção

IDOR

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55516

Produtos afetados

Snipe-It