CVE-2026-55466 in snipe-it
Zusammenfassung
von VulDB • 10.07.2026
Snipe-IT ist ein IT Asset-/Lizenzverwaltungssystem. Vor Version 8.6.2 wird SVG-Inhalt in UploadFileRequest nur dann bereinigt, wenn PHP finfo image/svg+xml meldet und UploadedFilesController Anhänge inline bereitstellt, ohne StorageHelper::allowSafeInline() zu verwenden. Dies ermöglicht es einem Benutzer mit niedrigen Berechtigungen, aktiven XHTML- oder XML-Inhalt hochzuladen, der später same-origin ausgegeben wird und JavaScript im Browser des Betrachters ausführt. Dieses Problem wurde in Version 8.6.2 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.