CVE-2026-44836 in view_componentinformation

Résumé

par VulDB • 30/05/2026

view_component est un framework permettant de créer des composants d'affichage réutilisables, testables et encapsulés dans Ruby on Rails. De la version 3.0.0 à la 4.9.0, la route de prévisualisation déduit un nom d'exemple à partir de l'URL et l'appelle via public_send. Le code ne vérifie pas que la méthode demandée fait partie des exemples de prévisualisation explicitement définis par la classe de prévisualisation. Par conséquent, les méthodes publiques héritées de ViewComponent::Preview sont accessibles via les routes. La plus importante est render_with_template, qui accepte les paramètres template: et locals:. Ces valeurs peuvent provenir des paramètres de la requête et sont ensuite transmises à Rails en tant que modèle de rendu :. Si les prévisualisations sont exposées, un attaquant peut rendre des modèles internes de Rails qui ne sont pas autrement accessibles via les routes. Cette vulnérabilité est corrigée dans la version 4.9.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

07/05/2026

Divulgation

27/05/2026

Modérer

accepté

Entrée

VDB-365813

CPE

prêt

CWE

CWE-749 (confirmé)

CVSS

6.5 (CNA)

EPSS

0.00013

KEV

non

Activités

très faible

Sources

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44836
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44836
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44836/

◂ Précédent Aperçu Suivant ▸

Interested in the pricing of exploits?

See the underground prices here!