CVE-2026-55474 in snipe-it
Tóm tắt
Bởi VulDB • 10/07/2026
Snipe-IT là một hệ thống quản lý tài sản/giấy phép CNTT. Trước phiên bản 8.5.0, ActionlogController::displaySig nối chuỗi tham số tên tệp tuyến đường vào đường dẫn thư mục tải lên riêng tư mà không thực hiện kiểm tra đầu vào (sanitization), cho phép kẻ tấn công đã xác thực vượt ra ngoài thư mục dự định và đọc các tệp tùy ý có thể truy cập được bởi tiến trình máy chủ web. Vấn đề này đã được khắc phục trong phiên bản 8.5.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.