php · snipe/snipe-itAtenção
snipe-it: Vulnerabilidade de bypass de isolamento multi-empresa no BulkAssetsController::update()
O método BulkAssetsController::update() aceita company_id diretamente da entrada do usuário sem chamar Company::getIdForCurrentUser(), permitindo que usuários n
O que mudou
O método BulkAssetsController::update() aceita company_id diretamente da entrada do usuário sem chamar Company::getIdForCurrentUser(), permitindo que usuários não superadmin movam ativos entre empresas, quebrando o isolamento multi-tenant.
Quem isso afeta
Usuários do snipe-it com multi-empresa habilitado, especialmente usuários não superadmin que agora podem contornar o escopo de empresa.
O que fazer hoje
Aplique o patch do commit d58fda626e8febfeff4cabbc20ba03edfc411e18 para restaurar o escopo de empresa em BulkAssetsController::update().
A esteira
Coletado→
Auditado→
Redigido→
Publicado