CVE-2026-48507
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 - wyżej niż 11% wszystkich znanych CVE
Streszczenie
W systemie zarządzania zasobami IT Snipe-IT, wersje przed 8.6.0 mają podatność, która pozwala użytkownikowi bez uprawnień administratora, posiadającemu jedynie uprawnienie `users.edit`, na zablokowanie dostępu wszystkim administratorom poprzez edytowanie flagi `activated` oraz flagi `ldap_import`. Wersja 8.6.0 zawiera poprawkę.
Ocena ryzyka
Organizacja może stracić kontrolę nad systemem zarządzania zasobami, co prowadzi do potencjalnych przestojów i problemów z dostępem do krytycznych funkcji. Zablokowanie administratorów może również wpłynąć na bezpieczeństwo danych.
Rekomendacja
Zaleca się aktualizację do wersji 8.6.0 lub nowszej, aby usunąć tę podatność. Należy również rozważyć przegląd uprawnień użytkowników w systemie.
Oryginalny opis (angielski, źródło NVD)
Snipe-IT is an IT asset/license management system. A vulnerability in versions prior to 8.6.0 allows a non-admin user holding only the granular `users.edit` permission to lock every admin out of the instance by editing the `activated` flag (which determines whether or not a user can login) and the `ldap_import` flag, which determines whether or not the user can request a password reset. Version 8.6.0 contains a patch.

