目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2026-55515— Snipe-IT 待出库接受记录越权删除漏洞

CVSS 5.0 · Medium

可能的 ATT&CK 技术 1AI

T1530 · Data from Cloud Storage
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-55515 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
Snipe-IT: Cross-company deletion of pending checkout acceptances via unscoped report endpoint
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Snipe-IT is an IT asset/license management system. Prior to 8.6.2, the unaccepted-assets report delete endpoint authorizes only reports.view and deletes CheckoutAcceptance::pending()->find($acceptanceId) by global ID without checking access to the related checkoutable asset, allowing a reports user in one company to delete pending checkout acceptance records for another company. This issue is fixed in version 8.6.2.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
通过用户控制密钥绕过授权机制
来源: 美国国家漏洞数据库 NVD

受影响产品

厂商产品影响版本CPE订阅
grokabilitysnipe-it < 8.6.2 -

二、漏洞 CVE-2026-55515 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-55515 的情报信息

登录查看更多情报信息。

CVE-2026-55515 补丁与修复 (1)

CVE-2026-55515 厂商安全公告 (1)

CVE-2026-55515 厂商页面 (1)

同批安全公告 · grokability · 2026-07-10 · 共 18 条

CVE-2026-543298.5 HIGHSnipe-IT API 跨租户配件注入漏洞
CVE-2026-555167.7 HIGHSnipe-IT 通过API更新跨公司资产维护重新分配漏洞
CVE-2026-554607.1 HIGHSnipe-IT 批量编辑用户授权绕过漏洞
CVE-2026-554696.5 MEDIUMSnipe-IT CSV导入图片路径遍历漏洞
CVE-2026-554616.1 MEDIUMSnipe-IT 用户编辑后开放重定向漏洞
CVE-2026-554755.7 MEDIUMSnipe-IT 导入功能用户ID可被覆盖漏洞
CVE-2026-554724.3 MEDIUMSnipe-IT API位置创建绕过FMCS父子公司边界验证漏洞
CVE-2026-554624.3 MEDIUMSnipe-IT 打印库存页面权限绕过漏洞
CVE-2026-55478Snipe-IT Kits API 对象级授权缺失漏洞
CVE-2026-55474Snipe-IT displaySig目录遍历漏洞
CVE-2026-55452Snipe-IT Activity Report导出CSV公式注入漏洞
CVE-2026-55479Snipe-IT 旧版授权签入API权限错误漏洞
CVE-2026-55464Snipe-IT Markdown 自定义字段存储型 XSS 漏洞
CVE-2026-55843Snipe-IT 权限管理不当漏洞
CVE-2026-55466Snipe-IT 内联附件存储型XSS漏洞
CVE-2026-55481Snipe-IT header_color设置CSS注入漏洞
CVE-2026-55476Snipe-IT 未授权资产请求取消漏洞

IV. Related Vulnerabilities

V. Comments for CVE-2026-55515

暂无评论


发表评论