CVE-2026-55466 in snipe-it
الملخص
بحسب VulDB • 11/07/2026
Snipe-IT هو نظام لإدارة أصول وتراخيص تكنولوجيا المعلومات (IT). قبل الإصدار 8.6.2، كانت فئة UploadFileRequest تقوم بتنظيف محتوى SVG فقط عندما يُبلغ PHP finfo عن نوع image/svg+xml، بينما تقدم UploadedFilesController المرفقات كملفات مضمنة دون استخدام StorageHelper::allowSafeInline()، مما يسمح لمستخدم ذي صلاحيات منخفضة برفع محتوى XHTML أو XML نشط يتم تقديمه لاحقاً من نفس المصدر (same-origin) وتنفيذ أكواد JavaScript في متصفح المستخدم. تم إصلاح هذه المشكلة في الإصدار 8.6.2.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.