php · snipe/snipe-itAtenção
Snipe-IT: endpoint GET /api/v1/{object}/selectlist sem verificação de autorização
O endpoint GET /api/v1/{object}/selectlist está sem verificação de autorização, permitindo que qualquer usuário autenticado recupere uma lista paginada de todas
O que mudou
O endpoint GET /api/v1/{object}/selectlist está sem verificação de autorização, permitindo que qualquer usuário autenticado recupere uma lista paginada de todas as contas de usuário.
Quem isso afeta
Todas as instâncias do Snipe-IT onde qualquer usuário pode fazer login; afeta todas as contas ativas expondo nomes de usuário, nomes de exibição, números de funcionário e IDs de usuário.
O que fazer hoje
Aplique o patch do commit 4f943d4a7ab8e53f3d9e32770602d1118bab005f para adicionar verificações de autorização ao endpoint.
A esteira
Coletado→
Auditado→
Redigido→
Publicado