Уязвимость неправильной авторизации в конечной точке /api/v1/users/{id} Snipe-IT v8.4.0 позволяет аутентифицированным злоумышленникам с разрешением users.edit изменять конфиденциальные поля аутентификации и состояния учетной записи других пользователей, не являющихся администраторами, путем предоставления созданного запроса PUT.
Показать оригинальное описание (EN)
An improper authorization vulnerability in the /api/v1/users/{id} endpoint of Snipe-IT v8.4.0 allows authenticated attackers with the users.edit permission to modify sensitive authentication and account-state fields of other non-admin users via supplying a crafted PUT request.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1