CVE-2026-44832
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 - wyżej niż 23% wszystkich znanych CVE
Streszczenie
W Snipe-IT przed wersją 8.4.1 uwierzytelniony użytkownik z uprawnieniem users.edit może eskalować swoje uprawnienia do administratora, wysyłając żądanie PATCH do /api/v1/users/{id} z parametrem permissions[admin]=1. Kontroler API usuwa tylko klucz superuser z tablicy uprawnień, pozwalając na ustawienie klucza admin i innych uprawnień.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowane przejęcie pełnej kontroli nad systemem przez zwykłego użytkownika, co może prowadzić do kradzieży danych, modyfikacji konfiguracji lub całkowitego przejęcia zarządzania aktywami IT.
Rekomendacja
Należy natychmiast zaktualizować Snipe-IT do wersji 8.4.1 lub nowszej, która zawiera poprawkę usuwającą lukę umożliwiającą eskalację uprawnień.
Oryginalny opis (angielski, źródło NVD)
Snipe-IT is an IT asset/license management system. Prior to 8.4.1, aAn authenticated user with only users.edit permission can escalate their own privileges to admin by sending a PATCH request to /api/v1/users/{id} with permissions[admin]=1. The API controller only strips the superuser key from the permissions array, allowing admin and all other permission keys to be set by any user who can update users. This vulnerability is fixed in 8.4.1.

