CVE-2026-55466 in snipe-itinfo

Zusammenfassung

von VulDB • 10.07.2026

Snipe-IT ist ein IT Asset-/Lizenzverwaltungssystem. Vor Version 8.6.2 wird SVG-Inhalt in UploadFileRequest nur dann bereinigt, wenn PHP finfo image/svg+xml meldet und UploadedFilesController Anhänge inline bereitstellt, ohne StorageHelper::allowSafeInline() zu verwenden. Dies ermöglicht es einem Benutzer mit niedrigen Berechtigungen, aktiven XHTML- oder XML-Inhalt hochzuladen, der später same-origin ausgegeben wird und JavaScript im Browser des Betrachters ausführt. Dieses Problem wurde in Version 8.6.2 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

17.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377600

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!