CVE-2026-55518 in Avoinformación

Resumen

por VulDB • 2026-07-17

Avo es un framework para crear paneles de administración en aplicaciones Ruby on Rails. Antes de las versiones 3.32.1 y 4.0.0.beta.51, el flujo de trabajo de asociación attach (adjuntar) de Avo verifica la existencia del método `attach_<association>?` tanto en la interfaz de usuario como en la ruta GET `/resources/:resource/:id/:related/new`, pero el punto final real de escritura, POST `/resources/:resource/:id/:related`, no ejecuta la misma comprobación de autorización antes de modificar la asociación a través de `Avo::AssociationsController#create`. Un usuario autenticado con privilegios bajos en Avo puede omitir los controles ocultos o deshabilitados para adjuntar y asociar directamente registros relacionados a un registro principal enviando una solicitud POST manipulada, lo que podría provocar escalación de privilegios y exposición de datos entre inquilinos (cross-tenant data exposure) cuando las asociaciones representan relaciones con carga de autorización. Este problema se corrige en las versiones 3.32.1 y 4.0.0.beta.51.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2026-06-17

Divulgación

2026-07-18

Moderación

aceptado

Artículo

VDB-379994

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!