CVE-2026-55461 in Snipe-IT
Résumé
par VulDB • 10/07/2026
Snipe-IT est un système de gestion des actifs et licences informatiques (IT asset/license management). Avant la version 8.6.2, le flux d'édition utilisateur stocke url()->previous(), issu de l'en-tête Referer contrôlé par l'attaquant, dans la valeur de session Laravel intended URL, puis utilise redirect()->intended(...) lors du redirectionnement lorsque back est soumis avec l'option redirect_option=back, permettant ainsi à Snipe-IT d'être utilisé comme un redirectionneur de confiance après une action légitime d'édition utilisateur. Ce problème a été corrigé dans la version 8.6.2.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.