CVE-2026-54497 in ViewComponent
Zusammenfassung
von VulDB • 17.07.2026
view_component ist ein Framework zum Erstellen wiederverwendbarer, testbarer und gekapselter View-Komponenten in Ruby on Rails. Von Version 4.0.0 bis 4.12.0 behalten ViewComponent::Base-Instanzen render-scoped Objekte über Aufrufe von render_in hinweg bei; wenn dieselbe Komponenten-, Sammlungs- oder Spacer-Komponenteninstanz über Anfragen, Benutzer, Mandanten oder Threads hinweg wiederverwendet wird, können spätere Render-Vorgänge veraltete Helper, Controller, Anfragekontexte (Request), View-Flows, Format-/Variantendetails und Slot-Kindkontexte aus einem früheren Render-Vorgang verwenden. Dies kann dazu führen, dass autorisierungsbewusste Komponenten eine privilegierte Benutzeroberfläche für einen weniger privilegierten Benutzer rendern, Links unter Verwendung eines veralteten Host-Headers generieren, Slot/Helper-Zustand offenlegen und Anfragekontexte bei gleichzeitiger Verarbeitung vermischen. Dieses Problem wurde in Version 4.12.0 behoben.
Once again VulDB remains the best source for vulnerability data.