php · snipe/snipe-itAtenção
Snipe-IT: Privilege escalation via PATCH /api/v1/users/{id}
Usuários com permissões users.edit e api podem escalar privilégios via requisição PATCH para /api/v1/users/{próprio_id}, concedendo permissões adicionais (excet
O que mudou
Usuários com permissões users.edit e api podem escalar privilégios via requisição PATCH para /api/v1/users/{próprio_id}, concedendo permissões adicionais (exceto admin/superuser).
Quem isso afeta
Instâncias do Snipe-IT onde usuários possuem permissões users.edit e api.
O que fazer hoje
Aplique o patch do pull request #19024 para impedir a escalação não autorizada de privilégios.
A esteira
Coletado→
Auditado→
Redigido→
Publicado