PT-2026-57270 · Snipe-It · Snipe-It
Publicado
2026-07-10
·
Atualizado
2026-07-10
·
CVE-2026-55516
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Snipe-IT versões anteriores a 8.6.2
Description
Existe um problema no sistema de gerenciamento de ativos e licenças de TI onde os endpoints 'PATCH /api/v1/maintenances/{maintenance id}' e 'PUT /api/v1/maintenances/{maintenance id}' falham ao reautorizar ativos durante a atualização de registros. Embora o sistema verifique o acesso ao registro de manutenção e ao ativo atual, ele permite que campos controlados por atacantes, como
asset id, sejam atualizados sem verificar o novo ativo. Isso permite que um usuário autorizado mova um registro de manutenção para um ativo que esteja fora do escopo de sua empresa.Recommendations
Atualize o Snipe-IT para a versão 8.6.2.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Snipe-It