製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Grokability, Inc.のSnipe-ITにおける複数の脆弱性

タイトル	Grokability, Inc.のSnipe-ITにおける複数の脆弱性
概要	Snipe-ITはIT資産およびライセンス管理を行うシステムです。バージョン8.4.1以前では、users.edit権限のみを持つ認証済みユーザーが、PATCHリクエストを/api/v1/users/{id}に対してpermissions[admin]=1を送信することで、自身の権限を管理者に昇格させることが可能でした。APIコントローラーはpermissions配列からsuperuserキーのみを除外しており、adminやその他の権限キーはユーザー更新権限を持つ任意のユーザーによって設定可能でした。この脆弱性は8.4.1で修正されました。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月26日0:00
登録日	2026年5月28日14:40
最終更新日	2026年5月28日14:40

CVSS3.0 : 重要
スコア	8.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

Grokability, Inc.

Snipe-IT 8.4.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44832	https://www.cve.org/CVERecord?id=CVE-2026-44832
National Vulnerability Database (NVD)
2	CVE-2026-44832	https://nvd.nist.gov/vuln/detail/CVE-2026-44832

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-281	http://cwe.mitre.org/data/definitions/281.html
2	CWE-863	https://cwe.mitre.org/data/definitions/863.html

ベンダー情報

No	名前	URL
GitHub
1	Privilege Escalation via API Permissions Assignment (v8.4.0) Advisory grokability/snipe-it GitHub	https://github.com/grokability/snipe-it/security/advisories/GHSA-hq28-crg7-95pr

その他

No	名前	URL
関連文書
1	Added admin check grokability/snipe-it@ce18ff6 GitHub	https://github.com/grokability/snipe-it/commit/ce18ff669ceb0f0349749fd5d11c1d3d40b10569

変更履歴

No	変更内容	変更日
1	[2026年05月28日] 掲載	2026年5月28日14:40

NVD脆弱性情報

CVE-2026-44832

概要	Snipe-IT is an IT asset/license management system. Prior to 8.4.1, aAn authenticated user with only users.edit permission can escalate their own privileges to admin by sending a PATCH request to /api/v1/users/{id} with permissions[admin]=1. The API controller only strips the superuser key from the permissions array, allowing admin and all other permission keys to be set by any user who can update users. This vulnerability is fixed in 8.4.1.
公表日	2026年5月27日5:16
登録日	2026年5月28日4:09
最終更新日	2026年5月27日5:38

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:snipeitapp:snipe-it::::::::					8.4.1

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/grokability/snipe-it/commit/ce18ff669ceb0f0349749fd5d11c1d3d40b10569	security-advisories@github.com
2	https://github.com/grokability/snipe-it/security/advisories/GHSA-hq28-crg7-95pr	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-863	不正な認証	https://cwe.mitre.org/data/definitions/863.html
2	CWE-281	パーミッションの不適切な保持	https://cwe.mitre.org/data/definitions/281.html