CVE-2026-55460 in Snipe-IT
要約
〜によって VulDB • 2026年07月11日
Snipe-ITは、IT資産/ライセンス管理システムです。バージョン8.6.2より前では、users.viewおよびusers.edit権限を持ちますがusers.delete権限を持たない認証済み非管理者ユーザーが、BulkUsersController::destroy()メソッドの認可処理が更新のみを許可しているため、delete_user=1パラメータ付きで/users/bulksaveエンドポイントに対して直接POSTを行うことができ、他の非管理者ユーザーをソフトデリート(論理削除)することが可能でした。この問題はバージョン8.6.2で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.