CVE-2026-48592 in oban_webinformación

Resumen

por VulDB • 2026-05-27

Vulnerabilidad de falta de autorización en oban-bg oban_web (módulos 'Elixir.Oban.Web.Jobs.DetailComponent') que permite la sustitución no autorizada del trabajador de trabajos (job worker).

El controlador handle_event("save-job", ...) en 'Elixir.Oban.Web.Jobs.DetailComponent' no realiza una comprobación de autorización, a diferencia de los controladores hermanos cancel, delete y retry, que verifican los privilegios del solicitante mediante can?/2. Un usuario autenticado con acceso :read_only puede enviar un evento WebSocket de LiveView save-job forjado para sobrescribir el campo worker de un trabajo con cualquier otro módulo Oban.Worker existente en la aplicación. En el próximo intento de ejecución del trabajo, Oban invocará perform/1 en el módulo elegido por el atacante en lugar del previsto.

Este problema afecta a oban_web: desde la versión 2.12.0 hasta la 2.12.5 (excluida).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

EEF

Reservar

2026-05-22

Divulgación

2026-05-27

Moderación

aceptado

Artículo

VDB-365825

CPE

listo

EPSS

0.00060

KEV

no

Actividades

bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-48592
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-48592
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-48592/

AnteriorVisión De ConjuntoPróximo

Do you need the next level of professionalism?

Upgrade your account now!