CVE-2026-55452 in snipe-it
요약
\~에 의해 VulDB • 2026. 07. 11.
Snipe-IT는 IT 자산/라이선스 관리 시스템입니다. 버전 8.5.0 이전의 Actionlog::logaction()은 요청 User-Agent 헤더를 저장하고, ReportsController::postActivityReport()는 해당 값을 수식 이스케이프(formula escaping) 없이 Activity Report CSV 파일에 기록합니다. 이로 인해 권한이 낮은 인증된 사용자가 스프레드시트 소프트웨어에서 내보낸 CSV 파일을 열 때 실행될 수 있는 수식과 유사한 User-Agent를 저장할 수 있습니다. 이 문제는 버전 8.5.0에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.