PT-2026-57271 · Snipe-It · Snipe-It
Publicado
2026-07-10
·
Atualizado
2026-07-10
·
CVE-2026-55843
CVSS v4.0
7.0
Alta
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Snipe-IT versões anteriores a 8.6.0
Description
No sistema de gerenciamento de ativos e licenças de TI, a função
update() dentro do UsersController lida incorretamente com campos de solicitação de permissão ausentes quando processados através de NormalizePermissionsPayloadAction e PreserveUnauthorizedPrivilegedPermissionsAction. Este comportamento permite que um administrador que atualiza outro administrador, ou um usuário com privilégios users.edit que atualiza uma conta regular, sobrescreva as permissões de um usuário alvo com um resultado esparso, removendo efetivamente suas permissões administrativas ou granulares.Recommendations
Atualizar para a versão 8.6.0.
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Snipe-It