CVE-2026-55518 in Avoالمعلومات

الملخص

بحسب VulDB • 18/07/2026

Avo هو إطار عمل لإنشاء لوحات تحكم إدارية لتطبيقات Ruby on Rails. قبل الإصدارين 3.32.1 و4.0.0.beta.51، كان سير العمل الخاص بإرفاق الارتباطات (association attach workflow) في Avo يتحقق من وجود `attach_<association>?` في واجهة المستخدم ومسار GET /resources/:resource/:id/:related/new، لكن نقطة النهاية الفعلية للكتابة، وهي POST /resources/:resource/:id/:related، لم تكن تقوم بتنفيذ نفس فحص التفويض قبل تعديل الارتباط عبر Avo::AssociationsController#create. يمكن للمستخدم المصادق عليه ذو الصلاحيات المنخفضة في Avo تجاوز عناصر التحكم المخفية أو المعطلة للإرفاق وإرفاق السجلات ذات الصلة مباشرة بسجل أبوي عن طريق إرسال طلب POST مُعدّ خصيصاً، مما قد يؤدي إلى تصعيد الامتيازات وكشف البيانات عبر المستأجرين (cross-tenant data exposure) حيث تمثل الارتباطات علاقات تحمل تفويض الوصول. تم إصلاح هذه المشكلة في الإصدارين 3.32.1 و4.0.0.beta.51.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

17/06/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379994

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!