CVE-2026-55518 in Avo
Resumen
por VulDB • 2026-07-17
Avo es un framework para crear paneles de administración en aplicaciones Ruby on Rails. Antes de las versiones 3.32.1 y 4.0.0.beta.51, el flujo de trabajo de asociación attach (adjuntar) de Avo verifica la existencia del método `attach_<association>?` tanto en la interfaz de usuario como en la ruta GET `/resources/:resource/:id/:related/new`, pero el punto final real de escritura, POST `/resources/:resource/:id/:related`, no ejecuta la misma comprobación de autorización antes de modificar la asociación a través de `Avo::AssociationsController#create`. Un usuario autenticado con privilegios bajos en Avo puede omitir los controles ocultos o deshabilitados para adjuntar y asociar directamente registros relacionados a un registro principal enviando una solicitud POST manipulada, lo que podría provocar escalación de privilegios y exposición de datos entre inquilinos (cross-tenant data exposure) cuando las asociaciones representan relaciones con carga de autorización. Este problema se corrige en las versiones 3.32.1 y 4.0.0.beta.51.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.