CRITICAL🇬🇧 English

CVE-2025-63601

RCE w Snipe-IT via złośliwy plik backup (CVE-2025-63601)

CVSS 9.9v3.1pub. 2025-11-05upd. 2025-12-01

Snipe-IT przed wersją 8.3.3 zawiera krytyczną podatność umożliwiającą uwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE). Exploit polega na przesłaniu spreparowanego pliku backup zawierającego dowolne pliki, co prowadzi do wykonania poleceń systemowych na serwerze.

Pokaż oryginał (EN)

Snipe-IT before version 8.3.3 contains a remote code execution vulnerability that allows an authenticated attacker to upload a malicious backup file containing arbitrary files and execute system commands.

🤖 Analiza AI
Jak działa

Podatność wynika z niewystarczającej walidacji przesyłanych plików backup (CWE-434 — unrestricted upload of file with dangerous type). Uwierzytelniony atakujący przesyła złośliwy plik backup zawierający arbitralne pliki, które po przetworzeniu przez aplikację trafiają na serwer. Następnie atakujący jest w stanie wykonać dowolne polecenia systemowe w kontekście procesu serwera aplikacji. Wektor ataku jest sieciowy, nie wymaga interakcji ofiary ani wysokich uprawnień (wystarczy zwykłe konto użytkownika).

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem, w tym dostęp do poufnych danych (C:H), modyfikację lub usunięcie danych (I:H) oraz uniemożliwienie działania systemu (A:H). Ze względu na zmieniony zakres (S:C) skutki mogą wykraczać poza samą aplikację Snipe-IT i obejmować inne systemy w środowisku.

Mitygacja

Należy niezwłocznie zaktualizować Snipe-IT do wersji 8.3.3 lub nowszej, dostępnej pod adresem: https://github.com/grokability/snipe-it/releases/tag/v8.3.3. Poprawka została wprowadzona w ramach pull request #17966 w oficjalnym repozytorium projektu.

Kogo dotyczy

Snipe-IT (Snipeitapp Snipe-IT) we wszystkich wersjach przed 8.3.3

Uwagi

Dla podatności opublikowano publiczny proof-of-concept (PoC) dostępny pod adresem https://fptcloud.com/en/cve-2025-63601-proof-of-concept/ oraz analizę techniczną pod adresem https://dappsec.substack.com/p/snipe-it-post-authenticated-remote. Obecność publicznego PoC znacząco zwiększa ryzyko eksploatacji mimo braku wpisu w CISA KEV.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Snipeitapp Snipe It

    APP
    Snipeitapp
    < 8.3.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-37709CRITICAL9.8PL ✓ten sam produkt

RCE w Snipe-IT — Insecure Permissions w API uploadu plików

CVE-2026-48507HIGH7.1ten sam produkt

Snipe-IT is an IT asset/license management system. A vulnerability in versions prior to 8.6.0 allows a non-adm...

CVE-2026-44832HIGH8.7ten sam produkt

Snipe-IT is an IT asset/license management system. Prior to 8.4.1, aAn authenticated user with only users.edit...

CVE-2025-15602HIGH8.7ten sam produkt

Snipe-IT versions prior to 8.3.7 contain sensitive user attributes related to account privileges that are insu...

CVE-2024-51093HIGH8.7ten sam produkt

Stored Cross-Site Scripting (XSS) vulnerability in Snipe-IT - v7.0.13 allows an attacker to upload a malicious...