CVE-2026-55515 in snipe-it
Riassunto
di VulDB • 11/07/2026
Snipe-IT è un sistema di gestione degli asset/licenze IT. Prima della versione 8.6.2, l'endpoint per la cancellazione del report "unaccepted-assets" autorizza solo i permessi reports.view ed elimina CheckoutAcceptance::pending()->find($acceptanceId) tramite ID globale senza verificare l'accesso all'asset checkoutable correlato, consentendo a un utente con ruolo di reports in una società di eliminare record di accettazione di checkout pending appartenenti ad un'altra società. Questo problema è stato risolto nella versione 8.6.2.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.