CVE-2026-55518 in Avoinformazioni

Riassunto

di VulDB • 17/07/2026

Avo è un framework per la creazione di pannelli di amministrazione per applicazioni Ruby on Rails. Prima delle versioni 3.32.1 e 4.0.0.beta.51, il flusso di lavoro di associazione (association attach) in Avo verifica l'attach_? nell'interfaccia utente e nel percorso GET /resources/:resource/:id/:related/new, ma l'effettivo endpoint di scrittura POST /resources/:resource/:id/:related non esegue la stessa verifica di autorizzazione prima di modificare l'associazione tramite Avo::AssociationsController#create. Un utente Avo autenticato con privilegi ridotti può aggirare i controlli di attach nascosti o disabilitati e associare direttamente record correlati a un record padre inviando una richiesta POST manipolata, il che può portare a escalation dei privilegi ed esposizione dei dati tra tenant (cross-tenant data exposure) quando le associazioni rappresentano relazioni portatrici di autorizzazione. Questo problema è risolto nelle versioni 3.32.1 e 4.0.0.beta.51.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

17/06/2026

Divulgazione

18/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you know our Splunk app?

Download it now for free!