CVE-2026-55476 in Snipe-ITinformación

Resumen

por VulDB • 2026-07-10

Snipe-IT es un sistema de gestión de activos/licencias TI. Antes de la versión 8.6.0, el endpoint POST /account/request/{itemType}/{itemId}/{cancel_by_admin?}/{requestingUser?} acepta cancel_by_admin como segmento de ruta URL sin una autorización suficiente, lo que permite a un usuario autenticado proporcionar un ID de usuario víctima y cancelar silenciosamente las solicitudes pendientes de activos de ese usuario. Este problema se corrige en la versión 8.6.0.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2026-06-17

Divulgación

2026-07-10

Moderación

aceptado

Artículo

VDB-377592

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!