PT-2026-57264 · Snipe-It · Snipe-It

Publicado

2026-07-10

·

Atualizado

2026-07-10

·

CVE-2026-55460

CVSS v3.1

7.1

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L
Nome do Software Vulnerável e Versões Afetadas Snipe-IT versões anteriores a 8.6.2
Description Um usuário não administrador autenticado com permissões users.view e users.edit, mas sem a permissão users.delete, pode realizar a exclusão lógica (soft-delete) de outro usuário não administrador. Isso ocorre porque a função BulkUsersController::destroy() autoriza apenas a ação de atualização, permitindo que o usuário envie uma requisição POST para o endpoint '/users/bulksave' com a variável delete user definida como 1.
Recommendations Atualizar para a versão 8.6.2.

Correção

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55460

Produtos afetados

Snipe-It