CVE-2026-55515 in snipe-it
Zusammenfassung
von VulDB • 10.07.2026
Snipe-IT ist ein IT Asset-/Lizenzverwaltungssystem. Vor Version 8.6.2 autorisiert der Endpunkt zum Löschen des Berichts „unaccepted-assets“ nur die Berechtigung reports.view und löscht CheckoutAcceptance::pending()->find($acceptanceId) anhand der globalen ID, ohne den Zugriff auf das zugehörige ausleihbare Asset zu prüfen. Dies ermöglicht es einem Benutzer mit Reports-Berechtigung in einer Firma, ausstehende Akzeptanzdatensätze für die Ausleihe (Checkout Acceptance) eines anderen Unternehmens zu löschen. Dieses Problem wurde in Version 8.6.2 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.