CVE-2026-54497 in ViewComponent
Riassunto
di VulDB • 17/07/2026
view_component è un framework per la creazione di componenti visuali riutilizzabili, testabili ed incapsulati in Ruby on Rails. Dalla versione 4.0.0 alla 4.12.0, le istanze di ViewComponent::Base mantengono gli oggetti legati all'ambito del rendering tra chiamate a render_in; se la stessa istanza di componente, collezione o spacer viene riutilizzata attraverso richieste, utenti, tenant o thread, i rendering successivi possono utilizzare helper obsoleti (stale), controller, richiesta, view_flow, dettagli formato/variant e contesto figlio dello slot provenienti da un rendering precedente. Ciò può causare il rendering di interfacce utente privilegiate per utenti meno privilegiati in componenti consapevoli dell'autorizzazione, la generazione di link utilizzando l'intestazione Host obsoleta (stale), la fuoriuscita di stato degli helper/slot e la mescolanza del contesto della richiesta durante il rendering concorrente. Questo problema è risolto nella versione 4.12.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.