Snipe-IT: Vulnerabilidade de bypass de 2FA no endpoint /two-factor

POST /two-factor sem rate limiting, lockout ou contador de tentativas, permitindo tentativas ilimitadas de TOTP. Janela TOTP=1 aceita 3 códigos por milhão. Após acerto, atacante obtém sessão autenticada; se 2FA for opcional (two_factor_enabled='1'), pode desabilitar 2FA via POST /account/profile sem re-verificação OTP. Para alvos admin, POST /api/v1/users/two_factor_reset limpa o segredo 2FA de outro usuário.

Todas as instâncias do Snipe-IT com 2FA habilitado (modo opcional ou obrigatório) anteriores à v8.6.0.

Atualize para v8.6.0 ou posterior para aplicar a correção.