CVE-2026-55460 in Snipe-ITinformación

Resumen

por VulDB • 2026-07-11

Snipe-IT es un sistema de gestión de activos/licencias TI. Antes de la versión 8.6.2, un usuario autenticado no administrador con permisos users.view y users.edit pero sin users.delete puede enviar directamente una petición POST a /users/bulksave con delete_user=1 porque BulkUsersController::destroy() solo autoriza actualizaciones (update), lo que permite al usuario eliminar lógicamente (soft-delete) a otro usuario no administrador. Este problema se corrige en la versión 8.6.2.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-06-17

Divulgación

2026-07-10

Moderación

aceptado

Artículo

VDB-377588

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!