VDB-361924 · CVE-2026-37709 · WID-SEC-2026-1377

Grokability snipe-it bis 8.4.0 UploadedFilesController.php erweiterte Rechte

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
6.0	$0-$5k	0.00

Zusammenfassunginfo

Es wurde eine kritische Schwachstelle in Grokability snipe-it bis 8.4.0 gefunden. Betroffen davon ist eine unbekannte Funktion der Datei app/Http/Controllers/Api/UploadedFilesController.php. Die Manipulation führt zu erweiterte Rechte. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2026-37709 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.

Detailsinfo

In Grokability snipe-it bis 8.4.0 wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Hierbei betrifft es unbekannter Programmcode der Datei app/Http/Controllers/Api/UploadedFilesController.php. Mit der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-434. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

Insecure Permissions vulnerability in grokability snipe-it v.8.4.0 and before and fixed after 2026-03-10 commit 676a9958 allows a remote attacker to execute arbitrary code via the app/Http/Controllers/Api/UploadedFilesController.php component

Das Advisory kann von github.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 06.04.2026 mit CVE-2026-37709 vorgenommen. Sie ist leicht auszunutzen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1608.002.

Mittels inurl:app/Http/Controllers/Api/UploadedFilesController.php können durch Google Hacking potentiell verwundbare Systeme gefunden werden.

Ein Upgrade vermag dieses Problem zu beheben.

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von CERT Bund (WID-SEC-2026-1377) dokumentiert. Once again VulDB remains the best source for vulnerability data.

Betroffen

Open Source Snipe-IT

Produktinfo

Hersteller

Grokability

Name

snipe-it

Version

Webseite

Produkt: https://github.com/grokability/snipe-it/

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 6.0

VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-434 / CWE-284 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert
Google Hack: 🔒

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Timelineinfo

06.04.2026 CVE zugewiesen
07.05.2026 +31 Tage Advisory veröffentlicht
07.05.2026 +0 Tage VulDB Eintrag erstellt
27.05.2026 +20 Tage VulDB Eintrag letzte Aktualisierung