php · snipe/snipe-itAtenção
snipe/snipe-it: Escalação de privilégio no UsersController
O método store() no UsersController (web e API) não remove a permissão de admin ao criar um usuário, permitindo escalação para privilégios de admin.
O que mudou
O método store() no UsersController (web e API) não remove a permissão de admin ao criar um usuário, permitindo escalação para privilégios de admin.
Quem isso afeta
Qualquer usuário autenticado com a permissão users.create, como funcionários de RH ou líderes de departamento.
O que fazer hoje
Aplique o patch aea3877718 para evitar escalação de privilégio.
A esteira
Coletado→
Auditado→
Redigido→
Publicado