CVE-2026-55460 in Snipe-ITИнформация

Сводка

по VulDB • 11.07.2026

Snipe-IT — это система управления ИТ-активами и лицензиями. До версии 8.6.2 аутентифицированный пользователь без прав администратора, имеющий права users.view и users.edit, но не имеющий users.delete, может напрямую отправлять POST-запросы к /users/bulksave с параметром delete_user=1, поскольку метод BulkUsersController::destroy() проверяет только разрешения на обновление (update), что позволяет пользователю выполнять мягкое удаление (soft-delete) другого пользователя без прав администратора. Эта проблема исправлена в версии 8.6.2.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Ответственный

GitHub M

Резервировать

17.06.2026

Раскрытие

10.07.2026

Модерация

принято

Вход

VDB-377588

EPSS

0.00285

KEV

Нет

Деятельности

Очень низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!