php · snipe/snipe-itCrítico
Snipe-IT Accessories API: cross-tenant data injection com FMCS ativo
Uma vulnerabilidade de injeção de dados entre tenants foi identificada na API de Acessórios do Snipe-IT quando o Suporte Completo a Múltiplas Empresas (FMCS) está habilitado.
O que mudou
Uma vulnerabilidade de injeção de dados entre tenants foi identificada na API de Acessórios do Snipe-IT quando o Suporte Completo a Múltiplas Empresas (FMCS) está habilitado. Um usuário autenticado com privilégios baixos pode criar um registro de acessório sob outra empresa fornecendo um valor de company_id estrangeiro no corpo da requisição da API.
Quem isso afeta
Usuários do Snipe-IT com Suporte Completo a Múltiplas Empresas (FMCS) habilitado, especificamente aqueles que utilizam a API de Acessórios.
O que fazer hoje
Aplique imediatamente o patch do commit dc8cbf4786bb38b260b4ae1723ec9e7f81d82fe5.
A esteira
Coletado→
Auditado→
Redigido→
Publicado