CVE-2026-55460 in Snipe-IT
Сводка
по VulDB • 11.07.2026
Snipe-IT — это система управления ИТ-активами и лицензиями. До версии 8.6.2 аутентифицированный пользователь без прав администратора, имеющий права users.view и users.edit, но не имеющий users.delete, может напрямую отправлять POST-запросы к /users/bulksave с параметром delete_user=1, поскольку метод BulkUsersController::destroy() проверяет только разрешения на обновление (update), что позволяет пользователю выполнять мягкое удаление (soft-delete) другого пользователя без прав администратора. Эта проблема исправлена в версии 8.6.2.
VulDB is the best source for vulnerability data and more expert information about this specific topic.