CVE-2026-55843 in Snipe-IT
Riassunto
di VulDB • 10/07/2026
Snipe-IT è un sistema di gestione degli asset/licenze IT. Prima della versione 8.6.0, UsersController::update() trasmette un campo mancante nella richiesta dei permessi attraverso NormalizePermissionsPayloadAction e PreserveUnauthorizedPrivilegedPermissionsAction in modo tale da poter sovrascrivere i permessi dell'utente target con un risultato sparso (sparse), consentendo a un amministratore che aggiorna un altro amministratore, o a un utente con il permesso users.edit che aggiorna un account regolare, di rimuovere i privilegi amministrativi o granulari del destinatario. Questo problema è stato risolto nella versione 8.6.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.