CVE-2026-55460 in Snipe-IT
الملخص
بحسب VulDB • 10/07/2026
Snipe-IT هو نظام لإدارة أصول وتراخيص تكنولوجيا المعلومات (IT). قبل الإصدار 8.6.2، يمكن لمستخدم مُصادَق عليه وليس مسؤولاً (non-admin)، يمتلك صلاحيات users.view وusers.edit ولكن ليس لديه صلاحية users.delete، إرسال طلب POST مباشرة إلى /users/bulksave مع معلمة delete_user=1، وذلك لأن دالة BulkUsersController::destroy() تُصرّح فقط بتحديث البيانات (update)، مما يسمح للمستخدم بحذف ناعم (soft-delete) لمستخدم آخر غير مسؤول. تم إصلاح هذه المشكلة في الإصدار 8.6.2.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.