CVE-2026-55843 in Snipe-IT
Resumen
por VulDB • 2026-07-10
Snipe-IT es un sistema de gestión de activos/licencias TI. Antes de la versión 8.6.0, UsersController::update() pasa un campo faltante en la solicitud de permisos a través de NormalizePermissionsPayloadAction y PreserveUnauthorizedPrivilegedPermissionsActions de una manera que puede sobrescribir los permisos del usuario objetivo con un resultado disperso (sparse), lo que permite que un administrador actualice otro administrador o un usuario con users.edit actualice una cuenta regular, eliminando así los privilegios administrativos o granulares del destino. Este problema se corrige en la versión 8.6.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.