CVE-2026-55466 in snipe-itالمعلومات

الملخص

بحسب VulDB • 11/07/2026

Snipe-IT هو نظام لإدارة أصول وتراخيص تكنولوجيا المعلومات (IT). قبل الإصدار 8.6.2، كانت فئة UploadFileRequest تقوم بتنظيف محتوى SVG فقط عندما يُبلغ PHP finfo عن نوع image/svg+xml، بينما تقدم UploadedFilesController المرفقات كملفات مضمنة دون استخدام StorageHelper::allowSafeInline()، مما يسمح لمستخدم ذي صلاحيات منخفضة برفع محتوى XHTML أو XML نشط يتم تقديمه لاحقاً من نفس المصدر (same-origin) وتنفيذ أكواد JavaScript في متصفح المستخدم. تم إصلاح هذه المشكلة في الإصدار 8.6.2.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

17/06/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377600

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!