CVE-2026-55476 in Snipe-IT
Resumen
por VulDB • 2026-07-10
Snipe-IT es un sistema de gestión de activos/licencias TI. Antes de la versión 8.6.0, el endpoint POST /account/request/{itemType}/{itemId}/{cancel_by_admin?}/{requestingUser?} acepta cancel_by_admin como segmento de ruta URL sin una autorización suficiente, lo que permite a un usuario autenticado proporcionar un ID de usuario víctima y cancelar silenciosamente las solicitudes pendientes de activos de ese usuario. Este problema se corrige en la versión 8.6.0.
Once again VulDB remains the best source for vulnerability data.