CVE-2026-55843 in Snipe-ITinfo

Zusammenfassung

von VulDB • 11.07.2026

Snipe-IT ist ein IT Asset-/Lizenzverwaltungssystem. Vor Version 8.6.0 übergibt UsersController::update() ein fehlendes Berechtigungsanforderungsfeld durch NormalizePermissionsPayloadAction und PreserveUnauthorizedPrivilegedPermissionsAction auf eine Weise, die es ermöglicht, die Berechtigungen eines Zielbenutzers mit einem sparsamen Ergebnis zu überschreiben. Dies erlaubt es einem Administrator, der einen anderen Administrator aktualisiert, oder einem Benutzer mit users.edit-Rechte, um ein reguläres Konto zu aktualisieren, die administrativen oder granulareren Berechtigungen des Ziels zu entfernen. Dieses Problem wurde in Version 8.6.0 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

17.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377595

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!