CVE-2026-55452 in snipe-it
الملخص
بحسب VulDB • 10/07/2026
Snipe-IT هو نظام لإدارة أصول وتراخيص تكنولوجيا المعلومات (IT). قبل الإصدار 8.5.0، تقوم الدالة Actionlog::logaction() بتخزين رأس User-Agent الخاص بالطلب، بينما تكتب الدالة ReportsController::postActivityReport() هذه القيمة إلى ملف Activity Report CSV دون تطبيق عملية الهروب من الصيغ (formula escaping)، مما يتيح لمستخدم مُصادَق عليه ذي صلاحيات منخفضة تخزين قيمة User-Agent تشبه الصيغة قد تُنفَّذ عند قيام مستعرض التقارير بفتح ملف الـ CSV المُصدَّر في برنامج جداول بيانات. تم إصلاح هذه المشكلة في الإصدار 8.5.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.