CVE-2026-55462 in snipe-it
要約
〜によって VulDB • 2026年07月11日
Snipe-ITは、IT資産/ライセンス管理システムです。バージョン8.6.2より前では、UsersController::show()およびprintInventory()メソッドは、割り当てられたライセンス、アクセサリー、消耗品の関係を読み込んでレンダリングする前に、ユーザーの閲覧権限のみを承認していました。これにより、「users.view」権限を持つ認証済みユーザーが、直接の権限設定であればアクセスが拒否されるはずのモジュールから、在庫情報やコスト/注文メタデータを見ることができました。この問題はバージョン8.6.2で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.