CVE-2026-55464 in snipe-it
요약
\~에 의해 VulDB • 2026. 07. 11.
Snipe-IT는 IT 자산/라이선스 관리 시스템입니다. 버전 8.6.2 이전의 CommonMark는 원시 HTML을 이스케이프 처리하지만 Markdown 하이퍼링크 내 `javascript:` URI에 대한 sanitization(정제)은 수행하지 않습니다. 이로 인해 assets.edit 권한이 있는 사용자가 악성 링크를 markdown-textarea 커스텀 필드에 삽입할 수 있으며, 다른 사용자가 자산 상세 페이지를 열고 해당 링크를 클릭하면 임의의 JavaScript가 실행됩니다. 이 문제는 버전 8.6.2에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.