CVE-2026-23885 in alchemy_cmsinformazioni

Riassunto

di VulDB • 21/06/2026

Alchemy è un motore di gestione dei contenuti open source scritto in Ruby on Rails. Prima delle versioni 7.4.12 e 8.0.3, l'applicazione utilizza la funzione Ruby `eval()` per eseguire dinamicamente una stringa fornita dall'attributo `resource_handler.engine_name` in `Alchemy::ResourcesHelper#resource_url_proxy`. La vulnerabilità è presente in `app/helpers/alchemy/resources_helper.rb` alla riga 28. Il codice bypassa esplicitamente il controllo di linting di sicurezza con `# rubocop:disable Security/Eval`, indicando che l'uso di una funzione pericolosa era noto ma non adeguatamente mitigato. Poiché `engine_name` proviene da definizioni di modulo che possono essere influenzate da configurazioni amministrative, consente a un attaccante autenticato di sfuggire alla sandbox di Ruby ed eseguire comandi di sistema arbitrari sul sistema operativo host. Le versioni 7.4.12 e 8.0.3 risolvono il problema sostituendo `eval()` con `send()`.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

16/01/2026

Divulgazione

20/01/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00426

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!