CVE-2026-55518 in Avoinfo

Zusammenfassung

von VulDB • 17.07.2026

Avo ist ein Framework zur Erstellung von Admin-Panels für Ruby-on-Rails-Anwendungen. Vor den Versionen 3.32.1 und 4.0.0.beta.51 überprüft der Attach-Workflow in Avo die Berechtigung über `attach_<association>?` in der Benutzeroberfläche sowie den Pfad GET /resources/:resource/:id/:related/new, während der eigentliche Schreibendpunkt POST /resources/:resource/:id/:related keine identische Autorisierungsprüfung vor dem Ändern der Assoziation durch Avo::AssociationsController#create ausführt. Ein authentifizierter Benutzer mit geringen Berechtigungen in Avo kann versteckte oder deaktivierte Attach-Steuerungen umgehen und verwandte Datensätze direkt an einen übergeordneten Datensatz anhängen, indem er eine speziell gefälschte POST-Anfrage sendet; dies kann zu einer Privilegieneskalation und zur Offenlegung von Mandantendaten führen, wenn Assoziationen autorisierungstragende Beziehungen darstellen. Dieses Problem wurde in den Versionen 3.32.1 und 4.0.0.beta.51 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

17.06.2026

Veröffentlichung

18.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379994

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!