Snipe-IT is an IT asset/license management system. Prior to 8.4.1, aAn authenticated user with only users.edit permission can escalate their own privileges to admin by sending a PATCH request to /api/v1/users/{id} with permissions[admin]=1. The API controller only strips the superuser key from the permissions array, allowing admin and all other permission keys to be set by any user who can update users. This vulnerability is fixed in 8.4.1.
Snipe-IT versions before 8.4.1 allow authenticated users with limited permissions to escalate privileges to admin by modifying API requests. An attacker can exploit incomplete permission validation in the user update endpoint to grant themselves administrative access.
يحتوي نظام إدارة الأصول والترخيص Snipe-IT على ثغرة في التحقق من الأذونات في واجهة برمجة التطبيقات. يمكن لأي مستخدم مصرح له بتحرير المستخدمين فقط أن يرفع مستوى امتيازاته إلى مسؤول من خلال إرسال طلب PATCH يتضمن معاملات الأذونات. الثغرة موجودة لأن المراقب يزيل فقط مفتاح المستخدم الفائق ولا يتحقق من المفاتيح الأخرى.
إصدارات Snipe-IT السابقة للإصدار 8.4.1 تسمح للمستخدمين المصرح لهم بصلاحيات محدودة بتصعيد امتيازاتهم إلى مسؤول. يمكن للمهاجم استغلال التحقق غير الكامل من الأذونات في نقطة نهاية تحديث المستخدم لمنح نفسه حق الوصول الإداري.
Upgrade Snipe-IT to version 8.4.1 or later immediately. Implement API request validation to prevent permission modification. Restrict API access to trusted networks and enforce multi-factor authentication for administrative accounts. Audit user permissions and remove any unauthorized admin privileges.
قم بترقية Snipe-IT إلى الإصدار 8.4.1 أو أحدث فوراً. طبق التحقق من طلبات API لمنع تعديل الأذونات. قيد الوصول إلى API للشبكات الموثوقة وفرض المصادقة متعددة العوامل للحسابات الإدارية. قم بمراجعة أذونات المستخدم وأزل أي امتيازات إدارية غير مصرح بها.