CVE-2026-55460 in Snipe-ITالمعلومات

الملخص

بحسب VulDB • 10/07/2026

Snipe-IT هو نظام لإدارة أصول وتراخيص تكنولوجيا المعلومات (IT). قبل الإصدار 8.6.2، يمكن لمستخدم مُصادَق عليه وليس مسؤولاً (non-admin)، يمتلك صلاحيات users.view وusers.edit ولكن ليس لديه صلاحية users.delete، إرسال طلب POST مباشرة إلى /users/bulksave مع معلمة delete_user=1، وذلك لأن دالة BulkUsersController::destroy() تُصرّح فقط بتحديث البيانات (update)، مما يسمح للمستخدم بحذف ناعم (soft-delete) لمستخدم آخر غير مسؤول. تم إصلاح هذه المشكلة في الإصدار 8.6.2.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

17/06/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377588

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!