CVE-2026-55460 in Snipe-IT情報

要約

〜によって VulDB • 2026年07月11日

Snipe-ITは、IT資産/ライセンス管理システムです。バージョン8.6.2より前では、users.viewおよびusers.edit権限を持ちますがusers.delete権限を持たない認証済み非管理者ユーザーが、BulkUsersController::destroy()メソッドの認可処理が更新のみを許可しているため、delete_user=1パラメータ付きで/users/bulksaveエンドポイントに対して直接POSTを行うことができ、他の非管理者ユーザーをソフトデリート(論理削除)することが可能でした。この問題はバージョン8.6.2で修正されています。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub M

予約する

2026年06月17日

モデレーション

承諾済み

エントリ

VDB-377588

EPSS

0.00000

アクティビティ

非常低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!