Katalog CVE

CVE-2026-48507

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 11 - wyżej niż 11% wszystkich znanych CVE

Streszczenie

W systemie zarządzania zasobami IT Snipe-IT, wersje przed 8.6.0 mają podatność, która pozwala użytkownikowi bez uprawnień administratora, posiadającemu jedynie uprawnienie `users.edit`, na zablokowanie dostępu wszystkim administratorom poprzez edytowanie flagi `activated` oraz flagi `ldap_import`. Wersja 8.6.0 zawiera poprawkę.

Ocena ryzyka

Organizacja może stracić kontrolę nad systemem zarządzania zasobami, co prowadzi do potencjalnych przestojów i problemów z dostępem do krytycznych funkcji. Zablokowanie administratorów może również wpłynąć na bezpieczeństwo danych.

Rekomendacja

Zaleca się aktualizację do wersji 8.6.0 lub nowszej, aby usunąć tę podatność. Należy również rozważyć przegląd uprawnień użytkowników w systemie.

Oryginalny opis (angielski, źródło NVD)

Snipe-IT is an IT asset/license management system. A vulnerability in versions prior to 8.6.0 allows a non-admin user holding only the granular `users.edit` permission to lock every admin out of the instance by editing the `activated` flag (which determines whether or not a user can login) and the `ldap_import` flag, which determines whether or not the user can request a password reset. Version 8.6.0 contains a patch.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS