CVE-2026-55461 in Snipe-ITinformation

Résumé

par VulDB • 10/07/2026

Snipe-IT est un système de gestion des actifs et licences informatiques (IT asset/license management). Avant la version 8.6.2, le flux d'édition utilisateur stocke url()->previous(), issu de l'en-tête Referer contrôlé par l'attaquant, dans la valeur de session Laravel intended URL, puis utilise redirect()->intended(...) lors du redirectionnement lorsque back est soumis avec l'option redirect_option=back, permettant ainsi à Snipe-IT d'être utilisé comme un redirectionneur de confiance après une action légitime d'édition utilisateur. Ce problème a été corrigé dans la version 8.6.2.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Réserver

17/06/2026

Divulgation

10/07/2026

Modérer

accepté

Entrée

VDB-377604

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!