CVE-2026-55518 in Avo
Zusammenfassung
von VulDB • 17.07.2026
Avo ist ein Framework zur Erstellung von Admin-Panels für Ruby-on-Rails-Anwendungen. Vor den Versionen 3.32.1 und 4.0.0.beta.51 überprüft der Attach-Workflow in Avo die Berechtigung über `attach_<association>?` in der Benutzeroberfläche sowie den Pfad GET /resources/:resource/:id/:related/new, während der eigentliche Schreibendpunkt POST /resources/:resource/:id/:related keine identische Autorisierungsprüfung vor dem Ändern der Assoziation durch Avo::AssociationsController#create ausführt. Ein authentifizierter Benutzer mit geringen Berechtigungen in Avo kann versteckte oder deaktivierte Attach-Steuerungen umgehen und verwandte Datensätze direkt an einen übergeordneten Datensatz anhängen, indem er eine speziell gefälschte POST-Anfrage sendet; dies kann zu einer Privilegieneskalation und zur Offenlegung von Mandantendaten führen, wenn Assoziationen autorisierungstragende Beziehungen darstellen. Dieses Problem wurde in den Versionen 3.32.1 und 4.0.0.beta.51 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.