Vulnerabilities ›

CVE-2026-44832

High

CWE-281 — Weakness Type

                    Published: May 26, 2026                      ·  Modified: Jun 2, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

Snipe-IT is an IT asset/license management system. Prior to 8.4.1, aAn authenticated user with only users.edit permission can escalate their own privileges to admin by sending a PATCH request to /api/v1/users/{id} with permissions[admin]=1. The API controller only strips the superuser key from the permissions array, allowing admin and all other permission keys to be set by any user who can update users. This vulnerability is fixed in 8.4.1.

🤖 AI Executive Summary

Snipe-IT versions before 8.4.1 allow authenticated users with limited permissions to escalate privileges to admin by modifying API requests. An attacker can exploit incomplete permission validation in the user update endpoint to grant themselves administrative access.

📄 Description (Arabic)

يحتوي نظام إدارة الأصول والترخيص Snipe-IT على ثغرة في التحقق من الأذونات في واجهة برمجة التطبيقات. يمكن لأي مستخدم مصرح له بتحرير المستخدمين فقط أن يرفع مستوى امتيازاته إلى مسؤول من خلال إرسال طلب PATCH يتضمن معاملات الأذونات. الثغرة موجودة لأن المراقب يزيل فقط مفتاح المستخدم الفائق ولا يتحقق من المفاتيح الأخرى.

🤖 ملخص تنفيذي (AI)

إصدارات Snipe-IT السابقة للإصدار 8.4.1 تسمح للمستخدمين المصرح لهم بصلاحيات محدودة بتصعيد امتيازاتهم إلى مسؤول. يمكن للمهاجم استغلال التحقق غير الكامل من الأذونات في نقطة نهاية تحديث المستخدم لمنح نفسه حق الوصول الإداري.

🤖 AI Intelligence Analysis Analyzed: May 31, 2026 12:54

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking telecom healthcare

🎯 MITRE ATT&CK Techniques

T1548.002 T1078.001 T1190

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Snipe-IT to version 8.4.1 or later immediately. Implement API request validation to prevent permission modification. Restrict API access to trusted networks and enforce multi-factor authentication for administrative accounts. Audit user permissions and remove any unauthorized admin privileges.

🔧 خطوات المعالجة (العربية)

قم بترقية Snipe-IT إلى الإصدار 8.4.1 أو أحدث فوراً. طبق التحقق من طلبات API لمنع تعديل الأذونات. قيد الوصول إلى API للشبكات الموثوقة وفرض المصادقة متعددة العوامل للحسابات الإدارية. قم بمراجعة أذونات المستخدم وأزل أي امتيازات إدارية غير مصرح بها.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.9.4.3

🔗 References & Sources 2

🔗

https://github.com/grokability/snipe-it/commit/ce18ff669ceb0f0349749fd5d11c1d3d40b10569

security-advisories@github.com

Patch

🔗

https://github.com/grokability/snipe-it/security/advisories/GHSA-hq28-crg7-95pr

security-advisories@github.com

Patch Vendor Advisory

📦 Affected Products / CPE 1 entries

snipeitapp:snipe-it

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-281

EPSS0.01%

Exploit No

Patch ✓ Yes

Published 2026-05-26

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

patch-available CWE-281

🏢 Vendor Advisories

🔗 https://github.com/grokability/snipe-it/security/adv...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-44832

Introduce Yourself

Sign In Required