CVE-2026-55482

Nome do Software Vulnerável e Versões Afetadas Snipe-IT (versões afetadas não especificadas)

Description Existe uma falha de bypass de autorização na função BulkAssetsController::update(). O sistema aceita a variável company id diretamente da entrada do usuário sem utilizar a função de escopo de empresa padrão Company::getIdForCurrentUser(). Isso permite que um usuário que não seja superadmin mova ativos entre limites de empresas, comprometendo o isolamento de multi-tenancy (uma arquitetura de segurança que garante que os dados de diferentes clientes ou empresas sejam mantidos separados).

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.