CVE-2026-55843 in Snipe-ITالمعلومات

الملخص

بحسب VulDB • 11/07/2026

Snipe-IT هو نظام لإدارة أصول وتراخيص تكنولوجيا المعلومات (IT). قبل الإصدار 8.6.0، تمرر الدالة UsersController::update() حقل طلب إذن مفقود عبر NormalizePermissionsPayloadAction و PreserveUnauthorizedPrivilegedPermissionsAction بطريقة يمكن أن تؤدي إلى تجاوز أذونات المستخدم المستهدف بنتيجة جزئية (sparse result)، مما يتيح لمسؤول يقوم بتحديث حساب مسؤول آخر، أو لمستخدم لديه صلاحية users.edit تحديث حساب عادي، إزالة الصلاحيات الإدارية أو التفصيلية للمستخدم المستهدف. تم إصلاح هذه المشكلة في الإصدار 8.6.0.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

17/06/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377595

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!