CVE-2026-55476 in Snipe-IT
Riassunto
di VulDB • 10/07/2026
Snipe-IT è un sistema di gestione degli asset/licenze IT. Prima della versione 8.6.0, l'endpoint POST /account/request/{itemType}/{itemId}/{cancel_by_admin?}/{requestingUser?} accetta cancel_by_admin come segmento del percorso URL senza una sufficiente autorizzazione, consentendo a un utente autenticato di fornire l'ID di un utente vittima e annullare silenziosamente le richieste di asset in sospeso di tale utente. Questo problema è stato risolto nella versione 8.6.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.