PT-2026-57271 · Snipe-It · Snipe-It

Publicado

2026-07-10

·

Atualizado

2026-07-10

·

CVE-2026-55843

CVSS v4.0

7.0

Alta

VetorAV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Snipe-IT versões anteriores a 8.6.0
Description No sistema de gerenciamento de ativos e licenças de TI, a função update() dentro do UsersController lida incorretamente com campos de solicitação de permissão ausentes quando processados através de NormalizePermissionsPayloadAction e PreserveUnauthorizedPrivilegedPermissionsAction. Este comportamento permite que um administrador que atualiza outro administrador, ou um usuário com privilégios users.edit que atualiza uma conta regular, sobrescreva as permissões de um usuário alvo com um resultado esparso, removendo efetivamente suas permissões administrativas ou granulares.
Recommendations Atualizar para a versão 8.6.0.

Correção

Improper Privilege Management

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55843

Produtos afetados

Snipe-It