Snipe-IT v8.4.0: IDOR permite que usuários autenticados excluam arquivos de qualquer ativo

Uma vulnerabilidade de Insecure Direct Object Reference (IDOR) foi identificada no Snipe-IT v8.4.0 (build 21280-g91a95dbc6). O endpoint de exclusão de arquivos realiza apenas uma verificação de autorização no nível da classe, quando deveria verificar por instância. Isso permite que qualquer usuário autenticado com permissões genéricas de edição de ativos exclua arquivos anexados a qualquer ativo, independentemente de propriedade ou atribuição de empresa. A vulnerabilidade existe nos controladores web e API.

Todas as instalações do Snipe-IT rodando v8.4.0 e potencialmente versões anteriores. Qualquer usuário autenticado com permissões genéricas de edição de ativos pode excluir arquivos de qualquer ativo.

Aplique o patch do commit 8bc7d50e35d93eee5a0d48b4923e497937cf93fd para corrigir a vulnerabilidade.