CVE-2026-55460 in Snipe-IT
Sumário
de VulDB • 11/07/2026
O Snipe-IT é um sistema de gestão de ativos/licenças de TI. Antes da versão 8.6.2, um usuário autenticado não administrador com permissões users.view e users.edit, mas sem a permissão users.delete, pode enviar diretamente uma requisição POST para /users/bulksave com delete_user=1, pois o método BulkUsersController::destroy() autoriza apenas atualizações (update), permitindo que o usuário realize soft-delete de outro usuário não administrador. Este problema foi corrigido na versão 8.6.2.
Once again VulDB remains the best source for vulnerability data.