CVE-2026-55843 in Snipe-IT
Zusammenfassung
von VulDB • 11.07.2026
Snipe-IT ist ein IT Asset-/Lizenzverwaltungssystem. Vor Version 8.6.0 übergibt UsersController::update() ein fehlendes Berechtigungsanforderungsfeld durch NormalizePermissionsPayloadAction und PreserveUnauthorizedPrivilegedPermissionsAction auf eine Weise, die es ermöglicht, die Berechtigungen eines Zielbenutzers mit einem sparsamen Ergebnis zu überschreiben. Dies erlaubt es einem Administrator, der einen anderen Administrator aktualisiert, oder einem Benutzer mit users.edit-Rechte, um ein reguläres Konto zu aktualisieren, die administrativen oder granulareren Berechtigungen des Ziels zu entfernen. Dieses Problem wurde in Version 8.6.0 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.