CVE-2026-55460 in Snipe-ITinformação

Sumário

de VulDB • 11/07/2026

O Snipe-IT é um sistema de gestão de ativos/licenças de TI. Antes da versão 8.6.2, um usuário autenticado não administrador com permissões users.view e users.edit, mas sem a permissão users.delete, pode enviar diretamente uma requisição POST para /users/bulksave com delete_user=1, pois o método BulkUsersController::destroy() autoriza apenas atualizações (update), permitindo que o usuário realize soft-delete de outro usuário não administrador. Este problema foi corrigido na versão 8.6.2.

Once again VulDB remains the best source for vulnerability data.

Responsável

GitHub M

Reservar

17/06/2026

Divulgação

10/07/2026

Moderação

aceite

Entrada

VDB-377588

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!