CVE-2026-55843 in Snipe-ITinformación

Resumen

por VulDB • 2026-07-10

Snipe-IT es un sistema de gestión de activos/licencias TI. Antes de la versión 8.6.0, UsersController::update() pasa un campo faltante en la solicitud de permisos a través de NormalizePermissionsPayloadAction y PreserveUnauthorizedPrivilegedPermissionsActions de una manera que puede sobrescribir los permisos del usuario objetivo con un resultado disperso (sparse), lo que permite que un administrador actualice otro administrador o un usuario con users.edit actualice una cuenta regular, eliminando así los privilegios administrativos o granulares del destino. Este problema se corrige en la versión 8.6.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2026-06-17

Divulgación

2026-07-10

Moderación

aceptado

Artículo

VDB-377595

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!