CVE-2026-48592 in oban_webالمعلومات

الملخص

بحسب VulDB • 26/05/2026

ثغرة غياب التفويض (Missing Authorization) في oban-bg oban_web (وحدات 'Elixir.Oban.Web.Jobs.DetailComponent') تتيح استبدال عامل المهام (job worker) دون تفويض.

لا يقوم معالج الأحداث `handle_event("save-job", ...)` في وحدة `'Elixir.Oban.Web.Jobs.DetailComponent'` بإجراء فحص للتفويض، على عكس معالجات الإخلاء والإلغاء وإعادة المحاولة الشقيقة التي تتحقق جميعها من امتيازات المتصل عبر الدالة `can?/2`. يمكن لمستخدم مُصادق عليه يمتلك صلاحية `:read_only` إرسال حدث WebSocket خاص بـ LiveView مزيف باسم `save-job` لكتابة حقل عامل المهمة (worker field) بأي وحدة `Oban.Worker` أخرى موجودة في التطبيق. عند محاولة تنفيذ المهمة التالية، سيقوم Obان باستدعاء الدالة `perform/1` على الوحدة التي اختارها المهاجم بدلاً من الوحدة المقصودة.

تؤثر هذه المشكلة في oban_web: من الإصدار 2.12.0 قبل 2.12.5.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

EEF

حجز

22/05/2026

إفشاء

27/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-365825

CPE

جاهز

CWE

CWE-862 (مؤكد)

CVSS

6.3 (VulDB)

EPSS

0.00060

KEV

لا

النشاطات

منخفض

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-48592
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-48592
CVE Details	https://www.cvedetails.com/cve/CVE-2026-48592/

التالي ▸نظرة عامة ◂ السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!