anonhaven

CVE-2025-63601

CRITICAL CVSS 3.1: 9,9 EPSS 0.56%
Обновлено 1 декабря 2025
Snipeitapp
Параметр Значение
CVSS 9,9 (CRITICAL)
Уязвимые версии до 8.3.3
Устранено в версии 8.3.3
Тип уязвимости CWE-434 (Неограниченная загрузка файлов)
Поставщик Snipeitapp
Публичный эксплойт Да

Snipe-IT до версии 8.3.3 содержит уязвимость удаленного выполнения кода, которая позволяет злоумышленнику, прошедшему проверку подлинности, загружать вредоносный файл резервной копии, содержащий произвольные файлы, и выполнять системные команды.

Показать оригинальное описание (EN)

Snipe-IT before version 8.3.3 contains a remote code execution vulnerability that allows an authenticated attacker to upload a malicious backup file containing arbitrary files and execute system commands.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-434 Unrestricted File Upload (Неограниченная загрузка файлов)

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Snipeitapp Snipe-It
cpe:2.3:a:snipeitapp:snipe-it:*:*:*:*:*:*:*:*
 8.3.3

Ссылки 4

https://dappsec.substack.com/p/snipe-it-post-authenticated-remote
cve@mitre.org
https://fptcloud.com/en/cve-2025-63601-proof-of-concept/
cve@mitre.org
https://github.com/grokability/snipe-it/pull/17966
cve@mitre.org
https://github.com/grokability/snipe-it/releases/tag/v8.3.3
cve@mitre.org
Share Post Share Share Share

Связанные уязвимости

CVE-2025-15602

Snipeitapp

8,7