Vulnerabilidad en snipe-it (CVE-2024-5685)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/06/2024
Última modificación:
07/03/2025
Descripción
Los usuarios con permisos "Usuario: editar" y "Self: api" pueden promocionarse o degradarse a sí mismos o a otros usuarios realizando cambios en las membresías del grupo a través de una llamada API. Este problema afecta a snipe-it: desde v4.6.17 hasta v6.4.1.
Impacto
Puntuación base 3.x
7.60
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:snipeitapp:snipe-it:*:*:*:*:*:*:*:* | 4.6.17 (incluyendo) | 6.4.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://advisory.checkmarx.net/?search=CVE-2024-5685
- https://devhub.checkmarx.com/cve-details/CVE-2024-5685/
- https://github.com/snipe/snipe-it/commit/34f1ea1c0ecd403047cd1327569ee391a7201cc1
- https://github.com/snipe/snipe-it/pull/14745
- https://github.com/snipe/snipe-it/releases/tag/v6.4.2
- https://advisory.checkmarx.net/?search=CVE-2024-5685
- https://devhub.checkmarx.com/cve-details/CVE-2024-5685/
- https://github.com/snipe/snipe-it/commit/34f1ea1c0ecd403047cd1327569ee391a7201cc1
- https://github.com/snipe/snipe-it/pull/14745
- https://github.com/snipe/snipe-it/releases/tag/v6.4.2