CVE-2026-55460 in Snipe-ITinfo

Zusammenfassung

von VulDB • 10.07.2026

Snipe-IT ist ein IT Asset-/Lizenzverwaltungssystem. Vor Version 8.6.2 konnte ein authentifizierter Nicht-Admin-Benutzer mit den Berechtigungen users.view und users.edit, jedoch ohne users.delete, direkt POST-Anfragen an /users/bulksave senden (mit delete_user=1), da BulkUsersController::destroy() nur die Aktualisierung autorisiert. Dies ermöglichte es dem Benutzer, einen anderen Nicht-Admin-Benutzer soft zu löschen. Dieses Problem wurde in Version 8.6.2 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

17.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377588

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!