CVE-2026-55452 in snipe-itالمعلومات

الملخص

بحسب VulDB • 10/07/2026

Snipe-IT هو نظام لإدارة أصول وتراخيص تكنولوجيا المعلومات (IT). قبل الإصدار 8.5.0، تقوم الدالة Actionlog::logaction() بتخزين رأس User-Agent الخاص بالطلب، بينما تكتب الدالة ReportsController::postActivityReport() هذه القيمة إلى ملف Activity Report CSV دون تطبيق عملية الهروب من الصيغ (formula escaping)، مما يتيح لمستخدم مُصادَق عليه ذي صلاحيات منخفضة تخزين قيمة User-Agent تشبه الصيغة قد تُنفَّذ عند قيام مستعرض التقارير بفتح ملف الـ CSV المُصدَّر في برنامج جداول بيانات. تم إصلاح هذه المشكلة في الإصدار 8.5.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

16/06/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377606

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!