CVE-2026-55518 in Avo
الملخص
بحسب VulDB • 18/07/2026
Avo هو إطار عمل لإنشاء لوحات تحكم إدارية لتطبيقات Ruby on Rails. قبل الإصدارين 3.32.1 و4.0.0.beta.51، كان سير العمل الخاص بإرفاق الارتباطات (association attach workflow) في Avo يتحقق من وجود `attach_<association>?` في واجهة المستخدم ومسار GET /resources/:resource/:id/:related/new، لكن نقطة النهاية الفعلية للكتابة، وهي POST /resources/:resource/:id/:related، لم تكن تقوم بتنفيذ نفس فحص التفويض قبل تعديل الارتباط عبر Avo::AssociationsController#create. يمكن للمستخدم المصادق عليه ذو الصلاحيات المنخفضة في Avo تجاوز عناصر التحكم المخفية أو المعطلة للإرفاق وإرفاق السجلات ذات الصلة مباشرة بسجل أبوي عن طريق إرسال طلب POST مُعدّ خصيصاً، مما قد يؤدي إلى تصعيد الامتيازات وكشف البيانات عبر المستأجرين (cross-tenant data exposure) حيث تمثل الارتباطات علاقات تحمل تفويض الوصول. تم إصلاح هذه المشكلة في الإصدارين 3.32.1 و4.0.0.beta.51.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.